APP Store

核心提示：回應中表示有米“從未在經營過程中采集任何直接的個人身份識別信息，或泄露、兜售任何個人用戶信息”，而且有米的SDK插件只是用于“幫助廣告主、開發者防作弊，而在實現過程中不符蘋果官方的規定”，而不是“安全漏洞”。

10月19日晚首先由國外媒體報道的一起安全事件——研究機構SourceDNA發現眾多使用有米SDK的App在收集用戶個人數據，因而遭蘋果下架。今天這一事件也得到國內媒體的廣泛報道，許多用戶不明覺厲。

蘋果在聲明中是這樣說的，“App使用私有API收集用戶個人信息，包括郵件地址、設備認證信息以及路由數據，這些App都使用了有米開發的第三方廣告SDK，收集的信息被傳到公司的服務器。”

而在此次事件中，有米官方也發表了回應（見下圖）。回應中表示有米“從未在經營過程中采集任何直接的個人身份識別信息，或泄露、兜售任何個人用戶信息”，而且有米的SDK插件只是用于“幫助廣告主、開發者防作弊，而在實現過程中不符蘋果官方的規定”，而不是“安全漏洞”。

　　關于裝有有米SDK的部分APP被蘋果下架的回應這當然不是安全漏洞

與Xcode事件中App被安裝后門不同，此次蘋果聲明的重要信息是App使用私有API收集用戶個人信息。實際上，這種事件并不是第一次發生，比如360 App被蘋果下架的事件中，就有關于調用私有API的爭議。

2012年2月9日，有網友爆料，奇虎360旗下的iOS應用調用私有API，并且涉及讀取用戶數據，并懷疑360應用是因此而遭蘋果商店下架。時隔一天，又有網友針鋒相對的提出一些對比，表示360 瀏覽器調用的API主要用于瀏覽器加速，也就是上網時使網頁在瀏覽器里顯示得更快，而且通過反編譯發現，多個國內外iPad瀏覽器應用都在調用這個接口。

誰說的是真的我們很難判定，但可以知道的是，使用私有API未必就會收集用戶數據，也未必會用在不良用途。

有關私有API的爭議

私有API是指放在PrivateFrameworks框架中的API，蘋果通常不允許App使用這類API，因為調用私有API而在審核中遭到拒絕的現象并不少見。但蘋果的審核機制并不透明，許多使用了私有API的App也被審核通過，包括Google Voice這樣的應用，一樣調用了私有API，也獲得了通過上架。甚至是蘋果的預裝App iBooks也被揭露使用了大量私有API，致使第三方應用無法實現亮度控制和調用字典等類似的功能。

對很多App來說，私有API不是不能用的問題，而是不得不用的問題，以Google語音搜索感應識別為例，在原始的SDK使用規范中，使用這些技術的App將無法通過Apple Store的審核。而事實上，如果嚴格遵守SDK規則的話，開發者是無法開發出Google Voice的。

所以，我們更應該關注的，是開發者調用私有API做了什么。

有米做了什么？

本次事件中，有米官方表示自家的SDK主要是幫助廣告主、開發者防作弊，簡單來說就是為了杜絕一個廣告在一個設備上被反復下載，從而保護廣告主的白白流失的廣告成本。

國內的移動互聯網廣告市場一直相當混亂，移動應用推廣中的點擊欺詐、虛假激活等問題大量存在，損害廣告主和媒體的利益。而為了過濾作弊流量，許多廣告平臺利用硬件序列號等信息分析每一臺設備是否為真實用戶的設備，保證廣告主的應用都安裝到真實用戶的設備之中。另外方面，作弊流量被過濾后能使得廣告主的預算更多地分配到正常媒體之中，保證正常媒體的收益。

蘋果在聲明中還指出有米采集了設備應用安裝列表信息，對此有米也解釋了他們這么做的初衷：

有米大部分廣告客戶是移動應用廠商，在移動應用推廣的過程中，我們主要幫助廣告客戶尋找新增用戶，有米會根據用戶手機應用安裝列表信息對已經安裝過廠商APP的用戶進行過濾，避免無效推廣，節省廣告主預算，提升推廣效果，這是有米的初衷。

這些做法并不特別，實際上國內許多廣告平臺以及眾多的App都在這么做，這也是為什么許多Android App要求很多跟功能完全不相關的權限，而在權限管理更加嚴格的iOS上面，觸犯蘋果的規則就變得很容易發生。

我們應該感謝蘋果有這么嚴格的隱私政策，但也要理解事件背后的真相是什么，而不是一味恐慌焦慮。說實話，Android系統下的個人信息安全或許更值得關注。