有米SDK存在安全隱患，《開心水族箱》《爸爸去哪兒2》等手游遭蘋果下架

10月20日，蘋果緊急下架了超過256款移動(dòng)應(yīng)用，這些應(yīng)用的共同特點(diǎn)是使用了有米公司提供的SDK接口。據(jù)移動(dòng)網(wǎng)絡(luò)安全機(jī)構(gòu)SourceDNA發(fā)布的調(diào)查報(bào)告，有米提供的SDK存在嚴(yán)重的安全漏洞，可以繞過蘋果審核機(jī)制搜集用戶的隱私。

目前至少有256款應(yīng)用使用了有米的API，相關(guān)的App累計(jì)下載量超過100萬人次。SourceDNA發(fā)現(xiàn)通過有米API可以收集iOS用戶的電子郵件地址和設(shè)備標(biāo)識(shí)符等數(shù)據(jù)，并把它們傳輸給有米管理的服務(wù)器。這些數(shù)據(jù)包括手機(jī)上的App列表、設(shè)備的平臺(tái)序列號(hào)、硬件組件及組件序列號(hào)甚至是用戶的Apple ID郵箱。

接到SourceDNA的報(bào)告后，蘋果方面也回應(yīng)稱：“我們發(fā)現(xiàn)一批App涉嫌使用私人API收集用戶個(gè)人信息，包括郵件地址、設(shè)備認(rèn)證信息以及路由數(shù)據(jù)，而這些App都使用了有米開發(fā)的第三方廣告SDK。此行為違反了我們的安全和隱私準(zhǔn)則，凡使用有米SDK的App均將做下架處理，新App如果使用了該SDK也將遭到拒絕?！?/p>

蘋果正在與受害的開發(fā)者緊密合作，幫助他們升級(jí)應(yīng)用版本，以確保它們對(duì)用戶是安全的，并符合蘋果的指導(dǎo)政策，盡快回到App Store。

蘋果并沒有給出具體被下架的App列表，觸樂對(duì)照有米官網(wǎng)提供的15個(gè)成功案例在App Store進(jìn)行搜索，發(fā)現(xiàn)《開心水族箱》《爸爸去哪兒2》《找你妹》三款知名手游均不能在App Store正常搜索，很可能是因?yàn)槭褂糜忻椎腟DK遭蘋果下架。但其中也有像《火柴人聯(lián)盟》《瘋狂猜成語2》等手游沒有受到波及，可能已經(jīng)及時(shí)停用了有米SDK。

《火柴人聯(lián)盟》的開發(fā)者告訴觸樂：“10月11日的時(shí)候，我們向蘋果提交更新版本，但是被蘋果給拒了，說‘有米’有問題。后來，我們把有米的SDK去掉后重新提交，10月13號(hào)又審核通過了，不然估計(jì)我們游戲也要被下架。”

有米是一家為應(yīng)用開發(fā)者提供廣告接入的移動(dòng)廣告運(yùn)營(yíng)商，能為移動(dòng)開發(fā)者提供視頻廣告、網(wǎng)頁墻、積分墻、插屏廣告和廣告條等移動(dòng)廣告的接入。

在SourceDNA的安全報(bào)告指出，蘋果一直禁止使用私有API，iOS 8里就禁止應(yīng)用讀取設(shè)備序列號(hào)。這是它們第一次發(fā)現(xiàn)有App可以成功繞開蘋果的審核機(jī)制，有米的SDK能通過枚舉電池系統(tǒng)等外部設(shè)備，突破了蘋果的限制，以硬件標(biāo)識(shí)符的方式搜集發(fā)送這些序列號(hào)。這一搜集用戶隱私的行為已經(jīng)長(zhǎng)達(dá)一年之久都不為人所知，SourceDNA警告稱發(fā)生這種漏洞也不會(huì)是最后一次。

在今天上午，有米官方也做出回應(yīng)，希望被下架的產(chǎn)品先去掉有米SDK，迅速向蘋果申請(qǐng)?jiān)俅紊暇€，它們將會(huì)為開發(fā)者提供合理的賠償方案。具體的公告如下：

今天下午14點(diǎn)44分，有米官方又發(fā)表新的聲明，稱只是實(shí)現(xiàn)過程不符合蘋果的規(guī)定，并非存在安全漏洞。