廣告sdk竊取用戶隱私:你家的App被下架了嗎?

來自新浪新聞的消息,因為涉及偷取用戶的額外信息,蘋果下架了包括爸爸去哪兒,找你妹等256個App,具體為什麼下架呢?是因為這些App嵌入了有米的廣告sdk,sdk說白了就是一段代碼,用來增加開發者的收入的。由此可以看出像爸爸去哪兒的App也缺錢啊,也需要加廣告sdk,但是利用App的用戶量賺取廣告費,本是很正常的事情,但是這個有米廣告sdk不僅為用戶顯示廣告,還偷偷的獲取了用戶的其他信息,具體是可以看下面的新聞摘要。

「11月18日,安全分析公司SourceDNA發出了一份公布說,他們在蘋果應用商店發現了上百個應用調用私有API,獲取額外的用戶信息,而這是被蘋果明令禁止的。這些應用都使用了中國的有米廣告SDK。

隨後,蘋果確認了這一消息,並下架了所有使用有米SDK的應用,並表示以後任何使用該SDK的應用都不會通過審核。

這些App一共有256個,它們主要使用了以下4個私有API:

1.安裝的其他App的清單或者使用最多的App的名字

2.獲取平台序列號

3.枚舉設備和外設的序列號

4.獲取用戶的蘋果ID(Email)

所以,只要安裝了這些應用,基本上你的信息都被獲取了。SourceDNA表示,這是他們第一次發現調用這些API但依然通過蘋果審查的應用,但根據他們掌握的情況,這不是最後一次。」

通過新聞上的分析可以看出,第一個問題就是抓取用戶手機上的其他的App的名稱或者使用最多的App的名字,具體怎麼理解?就是裝有有米sdk的App如果被你安裝了,比如說你裝了《爸爸去哪兒2》的App,那麼這個App就會知道,你手機上裝了哪些App,裝了多少個,以及你平常使用最多的App是哪些,知道的一清二楚。

第二個問題是讀取你的手機序列號,通過這個序列號就知道你的設備的基本信息,比如版本號,設備型號,以及保修期等很多信息,通過這些信息就知道你的手機什麼時候買的,買的是蘋果5s還是蘋果6s,通過對設備信息的判斷,基本就可以斷定你的收入,特別是蘋果6s剛出來你就買了,這些人很多數是土豪啊。

第三個問題是枚舉設備和外設的序列號,就是你的手機上還裝有其他什麼東西,比如音樂、視頻等,以及其他的功能,人家也都一清二楚,比如你某時某刻正在聽音樂,或者看視頻,人家也知道,這些都是廣告sdk能知道的。

第四個問題就是獲取用戶的ID(Email),大家都知道蘋果用戶的ID都是郵箱註冊的,通過獲取你的郵箱,基本上就能聯繫到你了。當然一旦知道了你的郵箱,就可能幹其他的壞事,比如這幾天很多用戶的網易信箱被盜,導致了很多用戶的store賬戶也被盜取,黑客拿著這些stroe賬戶給用戶發信息,想解鎖就要掏錢。

那麼基於獲取上面的四個信息,那麼能幹什麼呢?很簡單,知道你的郵箱,還知道了你的手機狀態,以及你日常使用的App,以及什麼時候使用了什麼App,以及什麼時候打了電話,看了視頻,聽了音樂,別人都一清二楚,通過獲取這些信息,基本就把你的個人信息掌握的非常全了,根據這些信息,對廣告廠商來說,可以為你推送你最喜歡的廣告,為他們帶去更多的收入。反面的話,可以把你的信息賣給其他的任何人,這些人也可能是壞人,也可能是好人,這個想像空間比較大。

App為什麼要裝廣告sdk?為了收入

其實目前的很多App都會安裝廣告sdk,主要目的是用來獲取收入,具體的流程是開發者通過廣告聯盟接廣告,這些廣告可能是按照激活付費的,也可能按照點擊付費的,也可能按照註冊付費的,當這些廣告被App用戶點擊後,開發者就能從廣告平台那裡獲得一些收入。

廣告聯盟是一個連接上游廣告商和下游流量主的一個橋樑,不過目前很多的開發者從廣告聯盟里幾乎賺不到錢,一方面是因為一個App開發出來後,還要推廣才能獲得用戶,而目前大多數有量的推廣位置都是花錢買的,大多數App開發者並沒有太多的錢去獲得這些資源位置,只能免費的推廣,而免費的推廣獲得的用戶有限,所以以個人和小團隊開發的App的用戶量也基本少的可憐,再加上從用戶使用App到用戶點擊廣告,也有很大的流失率,很多App開發者並不賺錢。

其次,很多App開發者還會遭到廣告聯盟扣量。具體就是在某個廣告聯盟接了廣告,如果按照激活付費的話,可能這個月激活量是1000個,按照每個量1.5元計算的話,收入是1500元,但是廣告聯盟也要生存,所以一般會扣除20-30%的量,當然遇到一些比較黑的廣告聯盟的話,扣你50%的量也是有可能的,這樣算下來,1000的激活量,也就幾百塊錢,同時再加上扣稅,到手裡也沒有幾個錢,所以目前的App開發者大多生存比較艱難,只有top100的App活的比較滋潤。

Sdk盜取用戶信息,開發者知道嗎?不知道

一般情況下,開發者都是通過廣告平台接入廣告,主要是單獨的App用戶量比較少,無法和大的廣告商對接,所以需要通過廣告聯盟。具體的方式就是在自己開發的App里嵌入廣告聯盟的sdk,就是一段代碼,這個代碼就是API,大部分是封裝起來的,開發者無法看到源碼。

廣告sdk在顯示廣告的同時,同時還幹了其他什麼事?開發者一般是不知道的,因為這個代碼一般不是開源的,開發者無法看到,另外就是廣告聯盟的sdk從App端抓取的用戶信息也是不走開發者伺服器的,開發者根本不知道sdk都幹了哪些事。通過上面的事實我們就會發現,有米sdk會把讀取的用戶信息發送到自己的伺服器後台,而不是開發者的伺服器後台,所以廣告sdk到底還會幹什麼其他壞事,App開發者基本都不知道。

來自業內人的觀點說,目前很多廣告sdk都會抓取用戶的基本信息,特別是廣告聯盟的sdk,積分牆sdk以及統計之類的sdk,sdk廠商會具體怎麼使用這些用戶信息,我們無法知道,不過可能幹好事,也可能幹壞事。

那麼用戶在使用App的時候,如果看到App底部或者頂部含有廣告,可以卸載App,以防止自己隱私的泄露。此外,還可以使用一些無廣告,無插件的App,這樣就可以防止自己的個人信息被泄露。

作者:移動互聯網李建華,微信:kaifazhe88 移動互聯網行業10年推廣人士,轉載本篇文章,請註明作者和微信,否則將追究你的法律責任。


推薦閱讀:

張明雲的Live——安卓 SDK 開發實戰經驗分享
無人機 SDK 平台開放後,有哪些 App 場景?

TAG:SDK | 广告 | 应用程序Application | AppStore | 隐私泄露 |