用有米SDK遭下架分析：私有API就代表隱私侵犯？

核心提示：回應中表示有米“從未在經營過程中採集任何直接的個人身份識別信息，或泄露、兜售任何個人用户信息”，而且有米的SDK插件只是用於“幫助廣告主、開發者防作弊，而在實現過程中不符蘋果官方的規定”，而不是“安全漏洞”。

本文來源：雷鋒網

10月19日晚首先由國外媒體報道的一起安全事件——研究機構SourceDNA發現眾多使用有米SDK的App在收集用户個人數據，因而遭蘋果下架。今天這一事件也得到國內媒體的廣泛報道，許多用户不明覺厲。

蘋果在聲明中是這樣説的，“App使用私有API收集用户個人信息，包括郵件地址、設備認證信息以及路由數據，這些App都使用了有米開發的第三方廣告SDK，收集的信息被傳到公司的服務器。”

而在此次事件中，有米官方也發表了回應（見下圖）。回應中表示有米“從未在經營過程中採集任何直接的個人身份識別信息，或泄露、兜售任何個人用户信息”，而且有米的SDK插件只是用於“幫助廣告主、開發者防作弊，而在實現過程中不符蘋果官方的規定”，而不是“安全漏洞”。

與Xcode事件中App被安裝後門不同，此次蘋果聲明的重要信息是App使用私有API收集用户個人信息。實際上，這種事件並不是第一次發生，比如360 App被蘋果下架的事件中，就有關於調用私有API的爭議。

2012年2月9日，有網友爆料，奇虎360旗下的iOS應用調用私有API，並且涉及讀取用户數據，並懷疑360應用是因此而遭蘋果商店下架。時隔一天，又有網友針鋒相對的提出一些對比，表示360 瀏覽器調用的API主要用於瀏覽器加速，也就是上網時使網頁在瀏覽器裏顯示得更快，而且通過反編譯發現，多個國內外iPad瀏覽器應用都在調用這個接口。

誰説的是真的我們很難判定，但可以知道的是，使用私有API未必就會收集用户數據，也未必會用在不良用途。

有關私有API的爭議

私有API是指放在PrivateFrameworks框架中的API，蘋果通常不允許App使用這類API，因為調用私有API而在審核中遭到拒絕的現象並不少見。但蘋果的審核機制並不透明，許多使用了私有API的App也被審核通過，包括Google Voice這樣的應用，一樣調用了私有API，也獲得了通過上架。甚至是蘋果的預裝App iBooks也被揭露使用了大量私有API，致使第三方應用無法實現亮度控制和調用字典等類似的功能。

對很多App來説，私有API不是不能用的問題，而是不得不用的問題，以Google語音搜索感應識別為例，在原始的SDK使用規範中，使用這些技術的App將無法通過Apple Store的審核。而事實上，如果嚴格遵守SDK規則的話，開發者是無法開發出Google Voice的。

所以，我們更應該關注的，是開發者調用私有API做了什麼。

有米做了什麼？

本次事件中，有米官方表示自家的SDK主要是幫助廣告主、開發者防作弊，簡單來説就是為了杜絕一個廣告在一個設備上被反覆下載，從而保護廣告主的白白流失的廣告成本。

國內的移動互聯網廣告市場一直相當混亂，移動應用推廣中的點擊欺詐、虛假激活等問題大量存在，損害廣告主和媒體的利益。而為了過濾作弊流量，許多廣告平台利用硬件序列號等信息分析每一台設備是否為真實用户的設備，保證廣告主的應用都安裝到真實用户的設備之中。另外方面，作弊流量被過濾後能使得廣告主的預算更多地分配到正常媒體之中，保證正常媒體的收益。

蘋果在聲明中還指出有米採集了設備應用安裝列表信息，對此有米也解釋了他們這麼做的初衷：

有米大部分廣告客户是移動應用廠商，在移動應用推廣的過程中，我們主要幫助廣告客户尋找新增用户，有米會根據用户手機應用安裝列表信息對已經安裝過廠商APP的用户進行過濾，避免無效推廣，節省廣告主預算，提升推廣效果，這是有米的初衷。

這些做法並不特別，實際上國內許多廣告平台以及眾多的App都在這麼做，這也是為什麼許多Android App要求很多跟功能完全不相關的權限，而在權限管理更加嚴格的iOS上面，觸犯蘋果的規則就變得很容易發生。

我們應該感謝蘋果有這麼嚴格的隱私政策，但也要理解事件背後的真相是什麼，而不是一味恐慌焦慮。説實話，Android系統下的個人信息安全或許更值得關注。