有米SDK事件非安全漏洞 移动广告行业现困局[]

(雷锋网/刘方平)10月19日晚首先由国外媒体报道的一起安全事件——研究机构SourceDNA发现众多使用有米SDK的App在收集用户个人数据，因而遭苹果下架。今天这一事件也得到国内媒体的广泛报道，许多用户不明觉厉。

苹果在声明中是这样说的，“App使用私有API收集用户个人信息，包括邮件地址、设备认证信息以及路由数据，这些App都使用了有米开发的第三方广告SDK，收集的信息被传到公司的服务器。”

而在此次事件中，有米官方也发表了回应(见下图)。回应中表示有米“从未在经营过程中采集任何直接的个人身份识别信息，或泄露、兜售任何个人用户信息”，而且有米的SDK插件只是用于“帮助广告主、开发者防作弊，而在实现过程中不符苹果官方的规定”，而不是“安全漏洞”。

这当然不是安全漏洞

与Xcode事件中App被安装后门不同，此次苹果声明的重要信息是App使用私有API收集用户个人信息。实际上，这种事件并不是第一次发生，比如360 App被苹果下架的事件中，就有关于调用私有API的争议。

2012年2月9日，有网友爆料，奇虎360旗下的应用调用私有API，并且涉及读取用户数据，并怀疑360应用是因此而遭苹果商店下架。时隔一天，又有网友针锋相对的提出一些对比，表示360 浏览器调用的API主要用于浏览器加速，也就是上网时使网页在浏览器里显示得更快，而且通过反编译发现，多个国内外iPad浏览器应用都在调用这个接口。

谁说的是真的我们很难判定，但可以知道的是，使用私有API未必就会收集用户数据，也未必会用在不良用途。

有关私有API的争议

私有API是指放在PrivateFrameworks框架中的API，苹果通常不允许App使用这类API，因为调用私有API而在审核中遭到拒绝的现象并不少见。但苹果的审核机制并不透明，许多使用了私有API的App也被审核通过，包括古哥 Voice这样的应用，一样调用了私有API，也获得了通过上架。甚至是苹果的预装App iBooks也被揭露使用了大量私有 API，致使第三方应用无法实现亮度控制和调用字典等类似的功能。