广告sdk窃取用户隐私:你家的App被下架了吗?

2015-10-23 17:27 稿源:李建华的网站  0条评论

来自新浪新闻的消息,因为涉及偷取用户的额外信息,苹果下架了包括爸爸去哪儿,找你妹等256个App,具体为什么下架呢?是因为这些App嵌入了有米的广告sdk,sdk说白了就是一段代码,用来增加开发者的收入的。由此可以看出像爸爸去哪儿的App也缺钱啊,也需要加广告sdk,但是利用App的用户量赚取广告费,本是很正常的事情,但是这个有米广告sdk不仅为用户显示广告,还偷偷的获取了用户的其他信息,具体是可以看下面的新闻摘要。

“11月18日,安全分析公司SourceDNA发出了一份公布说,他们在苹果应用商店发现了上百个应用调用私有API,获取额外的用户信息,而这是被苹果明令禁止的。这些应用都使用了中国的有米广告SDK。

随后,苹果确认了这一消息,并下架了所有使用有米SDK的应用,并表示以后任何使用该SDK的应用都不会通过审核。

这些App一共有256个,它们主要使用了以下4个私有API:

1.安装的其他App的清单或者使用最多的App的名字

2.获取平台序列号

3.枚举设备和外设的序列号

4.获取用户的苹果ID(Email)

所以,只要安装了这些应用,基本上你的信息都被获取了。SourceDNA表示,这是他们第一次发现调用这些API但依然通过苹果审查的应用,但根据他们掌握的情况,这不是最后一次。”

通过新闻上的分析可以看出,第一个问题就是抓取用户手机上的其他的App的名称或者使用最多的App的名字,具体怎么理解?就是装有有米sdk的App如果被你安装了,比如说你装了《爸爸去哪儿2》的App,那么这个App就会知道,你手机上装了哪些App,装了多少个,以及你平常使用最多的App是哪些,知道的一清二楚。

第二个问题是读取你的手机序列号,通过这个序列号就知道你的设备的基本信息,比如版本号,设备型号,以及保修期等很多信息,通过这些信息就知道你的手机什么时候买的,买的是苹果5s还是苹果6s,通过对设备信息的判断,基本就可以断定你的收入,特别是苹果6s刚出来你就买了,这些人很多数是土豪啊。

第三个问题是枚举设备和外设的序列号,就是你的手机上还装有其他什么东西,比如音乐、视频等,以及其他的功能,人家也都一清二楚,比如你某时某刻正在听音乐,或者看视频,人家也知道,这些都是广告sdk能知道的。

第四个问题就是获取用户的ID(Email),大家都知道苹果用户的ID都是邮箱注册的,通过获取你的邮箱,基本上就能联系到你了。当然一旦知道了你的邮箱,就可能干其他的坏事,比如这几天很多用户的网易信箱被盗,导致了很多用户的store账户也被盗取,黑客拿着这些stroe账户给用户发信息,想解锁就要掏钱。

那么基于获取上面的四个信息,那么能干什么呢?很简单,知道你的邮箱,还知道了你的手机状态,以及你日常使用的App,以及什么时候使用了什么App,以及什么时候打了电话,看了视频,听了音乐,别人都一清二楚,通过获取这些信息,基本就把你的个人信息掌握的非常全了,根据这些信息,对广告厂商来说,可以为你推送你最喜欢的广告,为他们带去更多的收入。反面的话,可以把你的信息卖给其他的任何人,这些人也可能是坏人,也可能是好人,这个想象空间比较大。

App为什么要装广告sdk?为了收入

其实目前的很多App都会安装广告sdk,主要目的是用来获取收入,具体的流程是开发者通过广告联盟接广告,这些广告可能是按照激活付费的,也可能按照点击付费的,也可能按照注册付费的,当这些广告被App用户点击后,开发者就能从广告平台那里获得一些收入。

广告联盟是一个连接上游广告商和下游流量主的一个桥梁,不过目前很多的开发者从广告联盟里几乎赚不到钱,一方面是因为一个App开发出来后,还要推广才能获得用户,而目前大多数有量的推广位置都是花钱买的,大多数App开发者并没有太多的钱去获得这些资源位置,只能免费的推广,而免费的推广获得的用户有限,所以以个人和小团队开发的App的用户量也基本少的可怜,再加上从用户使用App到用户点击广告,也有很大的流失率,很多App开发者并不赚钱。

其次,很多App开发者还会遭到广告联盟扣量。具体就是在某个广告联盟接了广告,如果按照激活付费的话,可能这个月激活量是1000个,按照每个量1.5元计算的话,收入是1500元,但是广告联盟也要生存,所以一般会扣除20-30%的量,当然遇到一些比较黑的广告联盟的话,扣你50%的量也是有可能的,这样算下来,1000的激活量,也就几百块钱,同时再加上扣税,到手里也没有几个钱,所以目前的App开发者大多生存比较艰难,只有top100的App活的比较滋润。

Sdk盗取用户信息,开发者知道吗?不知道

一般情况下,开发者都是通过广告平台接入广告,主要是单独的App用户量比较少,无法和大的广告商对接,所以需要通过广告联盟。具体的方式就是在自己开发的App里嵌入广告联盟的sdk,就是一段代码,这个代码就是API,大部分是封装起来的,开发者无法看到源码。

广告sdk在显示广告的同时,同时还干了其他什么事?开发者一般是不知道的,因为这个代码一般不是开源的,开发者无法看到,另外就是广告联盟的sdk从App端抓取的用户信息也是不走开发者服务器的,开发者根本不知道sdk都干了哪些事。通过上面的事实我们就会发现,有米sdk会把读取的用户信息发送到自己的服务器后台,而不是开发者的服务器后台,所以广告sdk到底还会干什么其他坏事,App开发者基本都不知道。

来自业内人的观点说,目前很多广告sdk都会抓取用户的基本信息,特别是广告联盟的sdk,积分墙sdk以及统计之类的sdk,sdk厂商会具体怎么使用这些用户信息,我们无法知道,不过可能干好事,也可能干坏事。

那么用户在使用App的时候,如果看到App底部或者顶部含有广告,可以卸载App,以防止自己隐私的泄露。此外,还可以使用一些无广告,无插件的App,这样就可以防止自己的个人信息被泄露。

作者:移动互联网李建华,微信:kaifazhe88 移动互联网行业10年推广人士,转载本篇文章,请注明作者和微信,否则将追究你的法律责任。

相关文章

相关热点

查看更多