10月20日,美国网络安全公司SourceDNA称,有256个使用有米SDK的APP因“收集用户个人数据”而遭苹果下架。有米随即回应称从未采集任何直接的个人身份识别信息,SDK插件只是用于“帮助广告主、开发者防作弊。”而据360团队数据:截止11月3日,共有1035个App受到有米SDK的影响,受影响App主要集中在游戏和教育类。
有米官网当天便贴出了回应
接到SourceDNA的报告后,苹果方面给出回应:“我们发现一批App涉嫌使用私人API收集用户个人信息,包括邮件地址、设备认证信息以及路由数据,而这些App都使用了有米开发的第三方广告SDK。此行为违反了我们的安全和隐私准则,凡使用有米SDK的App均将做下架处理,新App如果使用了该SDK也将遭到拒绝。”
更多App担心的是:ASO、App间技术对接会不会触犯苹果的底线?八妹首先带大家了解一下两个概念:防作弊SDK、私有API。
什么是API?
API全称是Application Programming Interfaces,译为应用程序编程接口。它是用于管理应用程序之间数据沟通、功能实现的规范化交流方式。App能通过它实现对硬件的控制或与其它App的互动协作,如将一首音乐分享到微信朋友圈。而私有API指的是在苹果开发文档中没有提供的、可能会被AppStore拒接的编程接口。
近年来,由于移动广告投放过程中衍生的作弊行为层出不穷,一些广告平台强化了SDK防作弊模块,增加更多设备验证的信息。所谓的防作弊的SDK通常也需要调动私有的API。但是,私有API技术并不是成熟和通用的开发者手段,苹果无法控制其读取用户信息的内容,因此,苹果通常不允许APP使用私有API。而因为调用私有API而在审核中遭到拒绝的现象并不少见。
而SDK本身也会存在着安全威胁,除了会获取用户隐私信息,如收集设备ID、获取用户位置信息外,还存在着更严重的安全问题。比如某些SDK具有主动接收服务器指令的功能,它会根据需要收集短信、通话记录和联系人等敏感信息。
无辜的APP开发者:只是跟人合作用了个SDK就被下架了
SourceDNA的报告中表示,此次被连累下架的app对此并不知情,因为开发包是以二进制代码的方式提供给开发者,采集到的用户信息也并未上传到移动软件的后台,而是上传到了有米广告平台的服务器上。但媒体报道的题目都是这样:“国产APP被苹果下架:山寨应用涉嫌窃取隐私信息”、“苹果下架250余款应用涉嫌收集用户隐私”……不了解内情的读者很容易误读是应用开发者窃取用户隐私。
此次下架风波让不少App成为惊弓之鸟,短时间内不敢做合作推广,特别是涉及技术对接的合作行为。如何确认自己不会在苹果规则中变成受殃池鱼,八妹觉得小白推广者们其实可以简单从以下几个方面考量:
辨别方式1:是否需要在你的App内植入SDK?
首先抓基本概念,没有SDK嵌入式合作的行为目前都是安全的,肯定不会涉及到搜集用户信息上传。如友钱(iyouqian.com)类的广告平台对接,是平台自身通过IDFA对用户做标记过滤,这类正常的对接属于苹果允许范围内。
辨别方式2:是否有DMP平台进行用户信息上传和分析?
DMP的全称是Data-Management Platform,译为数据管理平台。是很多广告平台的价值门槛所在,数据管理平台能够帮助所有涉及广告库存购买和出售的各方管理其数据、更方便地使用第三方数据、增强他们对所有这些数据的理解、传回数据或将定制数据传入某一平台,以进行更好地定位。如果你的合作方对DMP平台有所建树,就要对SDK的内容做一些沟通了解,确认其是否有上传苹果不允许读取的用户信息内容。
辨别方式3:合作方访问了你的哪些内容?
在对接过程中,了解对方的访问需求,以及是什么内容会被你家APP上传到对方的服务器上?以友钱(iyouqian.com)为例,对接过程中主要是和CP的服务端发送请求,随后由CP的后台对信息进行跟踪,不会去影响客户的服务端安全。