八八被苹果列入黑名单的“有米”及其行业内幕

文|hana

继XcodeGhost事件后，iOS平台近日又爆出一起安全事件。

网络安全机构SourceDNA近日发布调查报告称，App Store上256款应用违反了苹果相关隐私条例，存在暗中收集用户邮件地址、装机应用、序列号以及其他私人信息等行为，这些应用都使用了国内移动广告提供商有米所提供的第三方广告SDK被认为是本次安全问题的原因所在。

SourceDNA的研究人员表示，这些iOS应用使用有米的广告SDK收集了如下信息：

1、安装在手机上的应用列表

2、iPhone或iPad运行旧版iOS系统时的平台序列号

3、运行新版iOS时的硬件组件列表以及这些组件的序列号

4、与用户Apple ID关联的电子邮件地址

SourceDNA还发现，有米的数据收集行为似乎已经存在两年，而且随着时间的推移，这种行为变得更加肆无忌惮。有米甚至利用新的技巧隐匿收集数据的行为以绕开苹果的安全检查。

苹果于19日正式发布声明称，该公司已经在App Store中紧急下架了这些使用有米SDK的应用，并表示今后还将驳回使用该SDK的应用提交的申请。

有机构数据称，上述被撤架软件累计下载次数超过了100万次，除了报道中出现的麦当劳为中国地区开发的应用，究竟是哪些应用涉及其中苹果却并未对外公布。

今天小爆就来跟大家聊聊移动互联网广告公司“有米”及其背后的行业内幕。

曝光后先否认，网站被攻击，应用开发者受牵连

事情被曝光后，有米在20日两次发布声明回应。在声明中，有米先是对这次被苹果下架的开发者表示歉意，希望 “事情得到妥善解决后，给予合理的赔偿。”第二份声明中则表示自己“严格遵守关于个人隐私保护的法律法规，从未在经营过程中采集任何直接的个人身份识别信息(如手机号码，邮箱等)，或泄露、兜售任何个人用户信息。”同时否认自家SDK插件是由于部分媒体片面报道的“安全漏洞”等问题遭苹果下架，而是“主要作用于帮助广告主、开发者防作弊”。

但显然声明并不能起到什么作用，20日下午有应用开发者在微博上反映有米后台宕机了。

随后，有米发公告表示在20日14：00-15:00期间，有米网站遭受了DDoS攻击。而“经查证，这是一起针对有米的恶意攻击事件。对此，有米表示强烈谴责！目前有米正收集证据，保留依法追究恶意攻击者法律责任的权力。”

是否是愤怒的开发者为泄愤对有米网站实施了DDoS攻击我们不得而知，但是这次的事件却是确确实实的让这些应用开发者无端受到了牵连。媒体报道的题目都是这样：“国产APP被苹果下架:山寨应用涉嫌窃取隐私信息”、“苹果下架250余款应用 涉嫌收集用户隐私”……不了解内情的读者很容易误读是应用开发者窃取用户隐私。但是实际情况却是这些使用了有米SDK的开发者并不知情，一切数据都是通过私密API获取，然后通过有米的中国服务器发送。

合作伙伴大牌云集，淘宝、唯品会、中国移动等“榜上有名”

在有米官网上可以看到这家2010年成立的公司可谓是获奖无数。

公司宣传片中称有85%使用手机APP的用户都被有米覆盖，而公司的服务对象包括了中国联通、中国移动、阿里巴巴、腾讯、百度、网易、京东、昆仑游戏、宝洁、大众汽车、广发银行、唯品会等在内的6000多家国内外知名企业。

而使用有米SDK的还有我们熟知的大热游戏“找你妹”、“爸爸去哪儿2”、“消灭星星”、“会说话的汤姆猫”、“2048”等等。

植入SDK包获取个人信息已成移动互联网广告公司赢利潜规则

实际上，从几年前就陆续有媒体和相关人士在网上爆料移动互联网广告公司靠SDK包获取用户个人信息进行赢利的事情，并有相关从业者称这已成为行业潜规则。这里以该领域排名较为靠前的多盟、力美广告等公司举例。

“多盟”全称多盟智胜网络技术(北京)有限公司，成立于2010年9月，号称“中国第一智能手机广告平台”。今年6月，被蓝色光标收购。多盟所获奖项也很多。

但是在2012年的时候却有新浪博客用户发布多篇文章炮轰其收集用户隐私，涉嫌数据欺诈广告主，并发布详细验证证据。

在这次多米事件的微博下，我们也发现用户对多盟的吐槽，称其才牛X。

北京力美广告有限公司收集用户隐私的事则是被央视315晚会报道出来的。力美的高级客户总监王岩对媒体说：“只要媒体（应用软件）里加入我们的SDK，我们就会抓取到这个用户的很多数据，他的手机的型号，他的手机的MAC地址，包括他日常的消费习惯。” 北京掌阔移动传媒科技有限公司客户总监邸振东更直言：“我们根据WIFI 3G和服务器可以锁定任何地域，我们可以精确到某一幢楼的某一个房间。”真是想想都让人后背发凉。

结语：

尽管有米叫屈，表示自己只是为了更好地服务客户，也不会泄露用户的信息，但是究竟怎样利用这些数据，别人不得而知。而苹果由此事件表现出来的愈发严格的隐私政策也说明将来对这一现象的打击将会加大。与此同时，可能Android系统下的个人信息安全将更值得关注。

本文系「互联网爆料」（ID：hbaoliao）原创，首发于百略网（www.ibailve.com），转载请注明出处。