不一样的配方,一样的味道。AppStore一直在快速增长,现在蛋糕越做越大,尤其是在中国。因此,越来越多的人想尝尝这款蛋糕的甜头。行为得体的人,我们称之为商人;那些肆无忌惮的人,我们只能称他们为奸商甚至罪犯。可怜的开发商,他们要背锅。邪恶之源曝光“我们获悉,一系列使用第三方移动广告SDK开发的iOS软件,会通过私有API收集用户的个人信息,包括邮箱地址、设备序列号、路由数据等。然后,该软件将用户数据传输到一个名为游米的移动广告提供商设置的服务器,开发者使用的SDK也是该提供商开发的。这种行为已经违反了我们的安全和隐私准则,因此使用游米SDK开发的软件将被从AppStore下架,提交的审核也将被拒绝。Apple正在与开发者密切合作,帮助他们升级软件以符合AppStore的准则,确保用户信息的安全,并将受影响的软件退回给尽快上AppStore。”上面这段是苹果发言人发给代码数据分析机构SourceDNA的***回复,因为后者最近有一段。不可思议的发现:AppStore中有大量软件通过私有API收集用户信息,然后发送到悠米的服务器。小米是一家来自中国的移动广告提供商。他们有自己的SDK,与他们合作的开发者可以使用他们的SDK来开发软件。SourceDNA利用自身的检测工具,在AppStore中发现了至少256款使用有米SDK开发的应用,累计下载量已超过1亿次。这些App会被苹果一个一个下架(目前已经下架了一批),其开发者基本都来自中国。一直以来,苹果都不允许第三方SDK自带私有API,而这次悠米显然绕过了AppStore的审核机制。根据SourceDNA公布的信息,使用悠米SDK开发的软件会收集以下信息:1:已安装应用程序的具体列表2:iOS设备序列号(标识号)3:硬件和外部设备标识符等信息4:AppleIDEmail地址据了解,悠米通过私有API收集用户信息不是一天两天的事。他们两年前就开始这样做了,随着时间的推移,越来越肆无忌惮。或许是因为悠米有隐藏数据收集行为的特殊技能,苹果一直没有发现他们的所作所为。花了两年时间才发现用户数据。他们是如何做到的呢?让我们来看看SourceDNA是如何发现它的。解析iOS二进制文件背后的技术包括SourceDNA解析的ARM机器代码。调用Objective-C方案时,它使用objc_msgsend进行矢量导航,并以字符串形式接收类别和方案。通常,这些字符串可以通过在调用objc_msgsend之前查看数据引用来静态解析。SourceDNA跟踪这些调用目标类/方案的来源和目的,然后构建一个调用图来检测每个(受影响的)应用程序使用的方案。但是,在某些情况下,这些参数无法静态解析。由于它们只是字符串,因此可以在运行时通过任何字符串操作例程创建它们。因此,一些工具利用此功能来混淆类名和方案名,在调用objc_msgsend之前对字符串进行解密。应用程序也可以通过调用dlopen加载一个新的库,然后通过调用dlsym访问这个库中相应的函数或数据。这样,动态链接器将在指定文件中进行探测(首先检查其代码签名),然后查找给定符号的地址。由于库和符号名称都是字符串,因此它们也可以在运行时创建。SourceDNA分析了这种存在于数百万应用程序中的代码行为,主要是确认运行时加载的数据库是否用于访问私有API接口,SourceDNA收集了它们(应用程序)的数据,如果满足以下条件,则证明该应用程序将收集用户的个人信息:-调用dlopen、dlsym或nsclassfromstring/nsselectorfromstring-通过各种字符串控制函数生成参数经过调查,发现有数百个应用程序符合他们的设置。这些应用程序使用sprintf和%s格式字符串以及%@和NSStringstringwithformat:。SourceDNA还编写了一个脚本,通过使用附近的静态字符串来扩展这些格式字符串,然后聚合重构的参数。***,我们得到了小米SDK试图收集用户个人信息的证据。至于悠米通过私有API收集用户数据的行为之所以迟迟被发现,主要是因为这家移动广告商突破了苹果的限制,通过枚举电池系统等外部设备,使用硬件标识符来识别设备。序列号已收集,因此很难找到。据了解,这是自2008年推出AppStore以来,首次有人以这种方式绕过苹果的审核机制,苹果的做法值得称道。这次YoumiSDK事件很容易让我们想起不久前的XcodeGhost,因为招聘人员都是来自AppStore,源头都在国内。但是,其势力范围并不仅限于中国。上次XcodeGhost事件主要是开发者使用来路不明的Xcode开发工具造成的,影响了微信、铁路12306、联通手机营业厅、高德地图等非常流行的软件。受影响的软件已于***时间临时下架。在这起事件中,SourceDNA没有列出他们检测到的256个应用程序。目前,我们获悉麦当劳APP中文版已因此事下架。我们还通过悠米官网了解到,唯品会、淘宝等知名APP都是其合作伙伴。至于他们是否受到影响,目前还不得而知。悠米尚未对此报道作出回应。好在无论是涉及用户安全还是隐私问题,苹果的态度一直都是“坚决支持”。如果是XcodeGhost事件,如果是YoumiSDK事件,苹果会在第一时间做出反应,该封的封。iOS平台并非没有安全事件,但我们之前看到的恶意软件感染事件,基本上都是黑客直接在变相的应用程序中植入病毒,或者利用外部链接引诱iOS上当。但是这次的SDK和上次的XcodeGhost事件中,不法分子都是从软件开发的源头入手的。《福布斯》杂志称其为“一种全新的方式”。最近的一项调查发现,中国已经成为iOS应用最重要的市场,因为中国AppStore应用下载量已经超过美国(营收仍落后)。随着AppStore下载量的进一步增加,中国应用市场的蛋糕越来越大,越来越多的黑客盯上了这块蛋糕。或许用不了多久,我们就会再次看到“一条全新的路”。***顺便说一句,在这次事件中,开发者也很可怜,因为他们很可能不知道自己开发的APP会收集用户信息,因为有米根本就没有告诉他们。
