有米SDK安全漏洞收集用户隐私 苹果紧急下架256款App

　　中国的App又出问题了??10月20日，网安机构SourceDNA公布调查报告称，App Store上超256款应用违反了苹果相关隐私条例，存在暗中收集用户邮件地址、装机应用、序列号以及其它私人信息等行为，而造成本次安全问题的根本原因，是由于这些应用都使用了一款国内移动广告提供商有米所提供的第三方广告SDK。

　　据了解，本次涉事256款应用现已被苹果紧急叫停下架，但截至目前，这些存在安全隐患的应用总下载量已达100万次。对此，苹果方面迅速发表声明确认了此事：

　　“我们发现一批App涉嫌使用私人API收集用户个人信息，包括邮件地址、设备认证信息以及路由数据，而这些App都使用了有米开发的第三方广告SDK。此行为违反了我们的安全和隐私准则，因而凡使用有米SDK的App均将做下架处理，新App如果使用了该SDK也将遭到拒绝。

　　目前，我们正和开发者紧密联系，以帮助他们升级到安全的版本，早日回归App Store。”

　　具体来说，有米SDK主要提供的是第三方广告展示支持，然而近期有网安机构发现，有米SDK涉嫌未经授权收集用户信息，此行为已持续1年之久且近日有愈渐猖狂之势。

　　在SourceDNA的安全报告中，研究人员指出存在安全漏洞的有米SDK有以下“不轨行为”：1.用户安装在手机上的应用列表信息;2.在用户运行旧版iOS时，收集设备的平台序列号;3.在运行新版iOS时，收集设备的硬件组件及组件序列号;4.用户的Apple ID邮箱。

　　据悉，SourceDNA在上周日(美国时间)发现该问题SDK，当日便报给了苹果官方，但未直接指明具体256款应用。据了解，已下载的涉事应用仍可以正常使用，但从现在开始将无法进行软件升级。

　　有内部人士称，此次受害的应用不乏中国版麦当劳App这种常用应用，而这也是继XcodeGhost事件后，中国开发者以及App Store中国区曝光的又一安全事件。（王雪莹）