10月19日晚首先由國外媒體報道的一起安全事件——研究機構SourceDNA發(fā)現(xiàn)眾多使用有米SDK的App在收集用戶個人數(shù)據(jù)，因而遭蘋果下架。今天這一事件也得到國內媒體的廣泛報道，許多用戶不明覺厲。

蘋果在聲明中是這樣說的，“App使用私有API收集用戶個人信息，包括郵件地址、設備認證信息以及路由數(shù)據(jù)，這些App都使用了有米開發(fā)的第三方廣告SDK，收集的信息被傳到公司的服務器?！?/p>

而在此次事件中，有米官方也發(fā)表了回應（見下圖）。回應中表示有米“從未在經(jīng)營過程中采集任何直接的個人身份識別信息，或泄露、兜售任何個人用戶信息”，而且有米的SDK插件只是用于“幫助廣告主、開發(fā)者防作弊，而在實現(xiàn)過程中不符蘋果官方的規(guī)定”，而不是“安全漏洞”。

這當然不是安全漏洞

與Xcode事件中App被安裝后門不同，此次蘋果聲明的重要信息是App使用私有API收集用戶個人信息。實際上，這種事件并不是第一次發(fā)生，比如360 App被蘋果下架的事件中，就有關于調用私有API的爭議。

2012年2月9日，有網(wǎng)友爆料，奇虎360旗下的iOS應用調用私有API，并且涉及讀取用戶數(shù)據(jù)，并懷疑360應用是因此而遭蘋果商店下架。時隔一天，又有網(wǎng)友針鋒相對的提出一些對比，表示360 瀏覽器調用的API主要用于瀏覽器加速，也就是上網(wǎng)時使網(wǎng)頁在瀏覽器里顯示得更快，而且通過反編譯發(fā)現(xiàn)，多個國內外iPad瀏覽器應用都在調用這個接口。

誰說的是真的我們很難判定，但可以知道的是，使用私有API未必就會收集用戶數(shù)據(jù)，也未必會用在不良用途。

有關私有API的爭議

私有API是指放在PrivateFrameworks框架中的API，蘋果通常不允許App使用這類API，因為調用私有API而在審核中遭到拒絕的現(xiàn)象并不少見。但蘋果的審核機制并不透明，許多使用了私有API的App也被審核通過，包括Google Voice這樣的應用，一樣調用了私有API，也獲得了通過上架。甚至是蘋果的預裝App iBooks也被揭露使用了大量私有 API，致使第三方應用無法實現(xiàn)亮度控制和調用字典等類似的功能。

對很多App來說，私有API不是不能用的問題，而是不得不用的問題，以Google語音搜索感應識別為例，在原始的SDK使用規(guī)范中，使用這些技術的App將無法通過Apple Store的審核。而事實上，如果嚴格遵守SDK規(guī)則的話，開發(fā)者是無法開發(fā)出Google Voice的。

所以，我們更應該關注的，是開發(fā)者調用私有API做了什么。

有米做了什么？

本次事件中，有米官方表示自家的SDK主要是幫助廣告主、開發(fā)者防作弊，簡單來說就是為了杜絕一個廣告在一個設備上被反復下載，從而保護廣告主的白白流失的廣告成本。

國內的移動互聯(lián)網(wǎng)廣告市場一直相當混亂，移動應用推廣中的點擊欺詐、虛假激活等問題大量存在，損害廣告主和媒體的利益。而為了過濾作弊流量，許多廣告平臺利用硬件序列號等信息分析每一臺設備是否為真實用戶的設備，保證廣告主的應用都安裝到真實用戶的設備之中。另外方面，作弊流量被過濾后能使得廣告主的預算更多地分配到正常媒體之中，保證正常媒體的收益。

蘋果在聲明中還指出有米采集了設備應用安裝列表信息，對此有米也解釋了他們這么做的初衷：

有米大部分廣告客戶是移動應用廠商，在移動應用推廣的過程中，我們主要幫助廣告客戶尋找新增用戶，有米會根據(jù)用戶手機應用安裝列表信息對已經(jīng)安裝過廠商APP的用戶進行過濾，避免無效推廣，節(jié)省廣告主預算，提升推廣效果，這是有米的初衷。

這些做法并不特別，實際上國內許多廣告平臺以及眾多的App都在這么做，這也是為什么許多Android App要求很多跟功能完全不相關的權限，而在權限管理更加嚴格的iOS上面，觸犯蘋果的規(guī)則就變得很容易發(fā)生。

我們應該感謝蘋果有這么嚴格的隱私政策，但也要理解事件背后的真相是什么，而不是一味恐慌焦慮。說實話，Android系統(tǒng)下的個人信息安全或許更值得關注。

有關此事件完整報道：

《App使用有米SDK遭下架事件分析：使用私有API就代表隱私侵犯？》

《App使用有米SDK遭下架事件更新：并未收集用戶郵箱》

《移動廣告行業(yè)眾生相之有米SDK事件背后的思考》

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。