有米SDK事件非安全漏洞 移动广告行业现困局[]
(雷锋网/刘方平)10月19日晚由国外媒体报道的一起安全事件——研究机构SourceDNA发现众多使用有米SDK的App在收集用户个人数据,因而遭苹果下架。今天这一事件也得到国内媒体的广泛报道,许多用户不明觉厉。
苹果在声明中是这样说的,“App使用私有API收集用户个人信息,包括邮件地址、设备认证信息以及路由数据,这些App都使用了有米开发的第三方广告SDK,收集的信息被传到公司的服务器。”
而在此次事件中,有米官方也发表了回应(见下图)。回应中表示有米“从未在经营过程中采集任何直接的个人身份识别信息,或泄露、兜售任何个人用户信息”,而且有米的SDK插件只是用于“帮助广告主、开发者防作弊,而在实现过程中不符苹果官方的规定”,而不是“安全漏洞”。
这不是安全漏洞
与Xcode事件中App被安装后门不同,此次苹果声明的重要信息是App使用私有API收集用户个人信息。实际上,这种事件并不是第一次发生,比如360 App被苹果下架的事件中,就有关于调用私有API的争议。
2012年2月9日,有网友爆料,奇虎360旗下的应用调用私有API,并且涉及读取用户数据,并怀疑360应用是而遭苹果商店下架。时隔一天,又有网友针锋相对的提出一些对比,表示360 浏览器调用的API主要用于浏览器加速,也就是上网时使网页在浏览器里显示得更快,而且通过反编译发现,多个国内外iPad浏览器应用都在调用这个接口。
谁说的是真的我们很难判定,但可以知道的是,使用私有API未必就会收集用户数据,也未必会用在不良用途。
有关私有API的争议
私有API是指放在PrivateFrameorks框架中的API,苹果通常不允许App使用这类API,因为调用私有API而在审核中遭到拒绝的现象并不少见。但苹果的审核机制并不透明,许多使用了私有API的App也被审核通过,包括古哥 Voice这样的应用,一样调用了私有API,也获得了通过上架。甚至是苹果的预装App iBooks也被揭露使用了大量私有 API,致使第三方应用无法实现亮度控制和调用字典等类似的功能。