App Store 下架数百款泄露用户个人信息的应用

苹果今天从 App Store 下载了数百款 iOS 应用。这批应用遭到封杀的原因是数据分析服务商 SourceDNA 近日发现它们会窃取用户的个人身份信息，包括 Apple ID 邮件地址、设备与外设的序列号，以及设备安装的应用列表。SourceDNA 在一部分报告中表示这批应用都使用了来自一家叫做 有米 的中国广告公司的 SDK，这个 SDK 会通过私有 API 的方式获取上述的信息。

目前几乎所有受影响的应用开发者都来自中国，所以这应该是一起个别事件。但是更值得担忧的是这种信息窃取活动的持续时间，已经苹果的 App Store 审核流程的问题，因为苹果在收到来自第三方的警告之前都一直没有发现这些可疑活动。

根据 SourceDNA 的报告 ，有米显然已经对 App Store 审核机制试探了一段时间，了解自己可以从用户设备上抓取什么类型的信息。例如在两年之前，这家公司就开始通过混淆调用指令获取设备前台运行应用的名称。在发现这种做法可以顺利通过苹果的应用审核之后，它就开始利用同样的混淆技术来调用其他数据，包括广告 ID。

广告 ID 可以用于追踪广告点击，不过鉴于这些 ID 是通过秘密方式收集的，该报告怀疑有米可能已经将其用于其他目的。

SourceDNA 还提到虽然苹果从 iOS 8 开始已经禁用私有 API，阻止应用读取设备的序列号，但是有米通过枚举电池系统等外接设备的方法成功绕过了这一限制。然后它会将序列号作为硬件标识符发送出去。

SourceDNA 是一家专门帮助应用开发者优化应用代码和解决安全缺陷的公司。它在使用自家的 Searchlight 产品检查私有 API 的使用情况时发现了有米的行为——显然使用私有 API 的应用是应该被 App Store 封锁的。但令人意外的是，SourceDNA 还是发现了好些应用能够绕过这个限制。

SourceDNA 总共发现了 256 款使用有米 SDK 的应用，这批侵犯用户隐私的应用的总下载量已达 100 万。不过该公司补充说明这批开发者本身可能对这个 SDK 的行为并不知情，因为用户的数据只会被上传到有米的服务器。

不过 SourceDNA 的发现引出了一个更令人担忧的问题。该公司表示有米采用的混淆方式其实非常简单，而且这些应用已经存在了很长的一段时间。SourceDNA 的创始人奈特·劳森（Nate Lawson）向我们表示，这种情况已经存在了大概一年半的时间。

“我们担心有其他已上架应用也通过类似的方式隐藏自己的恶意行为。”SourceDNA 的一篇博客文章写道，“我们将会不断完善我们的搜索引擎，继续找出其他隐藏在应用代码当中的匿名行为。”

SourceDNA 向苹果提交了自己的报告，然后苹果回复了一份官方声明（见下文），表示受影响的应用已经被下架了。苹果称自己正与使用有米 SDK 的开发者进行交涉，帮助他们将符合苹果指引政策的新版应用重新上架 App Store。

以下是苹果的声明内容：

“ 我们发现，有一批应用使用了移动广告服务商有米开发的第三方广告 SDK，该 SDK 会利用私有 API 收集隐私信息，包括用户邮件地址和设备标识符，并将这些数据传回该公司的服务器。此行为违反了我们的安全与隐私政策。使用有米 SDK 的应用已经从 App Store 下架，任何使用此 SDK 的新应用也不会被 App Store 接受。我们正与受影响的开发者紧密合作，帮助他们升级应用版本，确保它们对用户是安全的，而且符合我们的指导政策，并尽快回归 App Store。”

翻译：关嘉伟（ @consideRay ）

Hundreds Of Apps Banned From App Store For Accessing Users’ Personal Information