10月19日晚首先由國(guó)外媒體報(bào)道的一起安全事件——研究機(jī)構(gòu)SourceDNA發(fā)現(xiàn)眾多使用有米SDK的App在收集用戶(hù)個(gè)人數(shù)據(jù),因而遭蘋(píng)果下架。今天這一事件也得到國(guó)內(nèi)媒體的廣泛報(bào)道,許多用戶(hù)不明覺(jué)厲。
蘋(píng)果在聲明中是這樣說(shuō)的,“App使用私有API收集用戶(hù)個(gè)人信息,包括郵件地址、設(shè)備認(rèn)證信息以及路由數(shù)據(jù),這些App都使用了有米開(kāi)發(fā)的第三方廣告SDK,收集的信息被傳到公司的服務(wù)器。”
而在此次事件中,有米官方也發(fā)表了回應(yīng)(見(jiàn)下圖)?;貞?yīng)中表示有米“從未在經(jīng)營(yíng)過(guò)程中采集任何直接的個(gè)人身份識(shí)別信息,或泄露、兜售任何個(gè)人用戶(hù)信息”,而且有米的SDK插件只是用于“幫助廣告主、開(kāi)發(fā)者防作弊,而在實(shí)現(xiàn)過(guò)程中不符蘋(píng)果官方的規(guī)定”,而不是“安全漏洞”。
這當(dāng)然不是安全漏洞
與Xcode事件中App被安裝后門(mén)不同,此次蘋(píng)果聲明的重要信息是App使用私有API收集用戶(hù)個(gè)人信息。實(shí)際上,這種事件并不是第一次發(fā)生,比如360 App被蘋(píng)果下架的事件中,就有關(guān)于調(diào)用私有API的爭(zhēng)議。
2012年2月9日,有網(wǎng)友爆料,奇虎360旗下的iOS應(yīng)用調(diào)用私有API,并且涉及讀取用戶(hù)數(shù)據(jù),并懷疑360應(yīng)用是因此而遭蘋(píng)果商店下架。時(shí)隔一天,又有網(wǎng)友針?shù)h相對(duì)的提出一些對(duì)比,表示360 瀏覽器調(diào)用的API主要用于瀏覽器加速,也就是上網(wǎng)時(shí)使網(wǎng)頁(yè)在瀏覽器里顯示得更快,而且通過(guò)反編譯發(fā)現(xiàn),多個(gè)國(guó)內(nèi)外iPad瀏覽器應(yīng)用都在調(diào)用這個(gè)接口。
誰(shuí)說(shuō)的是真的我們很難判定,但可以知道的是,使用私有API未必就會(huì)收集用戶(hù)數(shù)據(jù),也未必會(huì)用在不良用途。
有關(guān)私有API的爭(zhēng)議
私有API是指放在PrivateFrameworks框架中的API,蘋(píng)果通常不允許App使用這類(lèi)API,因?yàn)檎{(diào)用私有API而在審核中遭到拒絕的現(xiàn)象并不少見(jiàn)。但蘋(píng)果的審核機(jī)制并不透明,許多使用了私有API的App也被審核通過(guò),包括Google Voice這樣的應(yīng)用,一樣調(diào)用了私有API,也獲得了通過(guò)上架。甚至是蘋(píng)果的預(yù)裝App iBooks也被揭露使用了大量私有 API,致使第三方應(yīng)用無(wú)法實(shí)現(xiàn)亮度控制和調(diào)用字典等類(lèi)似的功能。
對(duì)很多App來(lái)說(shuō),私有API不是不能用的問(wèn)題,而是不得不用的問(wèn)題,以Google語(yǔ)音搜索感應(yīng)識(shí)別為例,在原始的SDK使用規(guī)范中,使用這些技術(shù)的App將無(wú)法通過(guò)Apple Store的審核。而事實(shí)上,如果嚴(yán)格遵守SDK規(guī)則的話,開(kāi)發(fā)者是無(wú)法開(kāi)發(fā)出Google Voice的。
所以,我們更應(yīng)該關(guān)注的,是開(kāi)發(fā)者調(diào)用私有API做了什么。
有米做了什么?
本次事件中,有米官方表示自家的SDK主要是幫助廣告主、開(kāi)發(fā)者防作弊,簡(jiǎn)單來(lái)說(shuō)就是為了杜絕一個(gè)廣告在一個(gè)設(shè)備上被反復(fù)下載,從而保護(hù)廣告主的白白流失的廣告成本。
國(guó)內(nèi)的移動(dòng)互聯(lián)網(wǎng)廣告市場(chǎng)一直相當(dāng)混亂,移動(dòng)應(yīng)用推廣中的點(diǎn)擊欺詐、虛假激活等問(wèn)題大量存在,損害廣告主和媒體的利益。而為了過(guò)濾作弊流量,許多廣告平臺(tái)利用硬件序列號(hào)等信息分析每一臺(tái)設(shè)備是否為真實(shí)用戶(hù)的設(shè)備,保證廣告主的應(yīng)用都安裝到真實(shí)用戶(hù)的設(shè)備之中。另外方面,作弊流量被過(guò)濾后能使得廣告主的預(yù)算更多地分配到正常媒體之中,保證正常媒體的收益。
蘋(píng)果在聲明中還指出有米采集了設(shè)備應(yīng)用安裝列表信息,對(duì)此有米也解釋了他們這么做的初衷:
有米大部分廣告客戶(hù)是移動(dòng)應(yīng)用廠商,在移動(dòng)應(yīng)用推廣的過(guò)程中,我們主要幫助廣告客戶(hù)尋找新增用戶(hù),有米會(huì)根據(jù)用戶(hù)手機(jī)應(yīng)用安裝列表信息對(duì)已經(jīng)安裝過(guò)廠商APP的用戶(hù)進(jìn)行過(guò)濾,避免無(wú)效推廣,節(jié)省廣告主預(yù)算,提升推廣效果,這是有米的初衷。
這些做法并不特別,實(shí)際上國(guó)內(nèi)許多廣告平臺(tái)以及眾多的App都在這么做,這也是為什么許多Android App要求很多跟功能完全不相關(guān)的權(quán)限,而在權(quán)限管理更加嚴(yán)格的iOS上面,觸犯蘋(píng)果的規(guī)則就變得很容易發(fā)生。
我們應(yīng)該感謝蘋(píng)果有這么嚴(yán)格的隱私政策,但也要理解事件背后的真相是什么,而不是一味恐慌焦慮。說(shuō)實(shí)話,Android系統(tǒng)下的個(gè)人信息安全或許更值得關(guān)注。