不同的配方，相同的味道。App Store 一直都在飛快地發(fā)展，現(xiàn)在這塊蛋糕越來(lái)越大，尤其是在中國(guó)地區(qū)。所以，想要從這塊蛋糕上嘗到甜頭的人也越來(lái)越多。做法正經(jīng)的，我們叫他們商人;做法不正經(jīng)的，我們只能稱之為奸商甚至是犯罪份子了?？蓱z開(kāi)發(fā)者，要背鍋了。

罪惡之源被曝光

[[152742]]

“我們已經(jīng)了解到，一系列采用第三方移動(dòng)廣告 SDK 進(jìn)行開(kāi)發(fā)的 iOS 軟件會(huì)通過(guò)私人 API 擅自收集用戶的個(gè)人信息，包括郵箱地址、設(shè)備序列號(hào)以及路由數(shù)據(jù)等等。然后，這些軟件把用戶數(shù)據(jù)傳向一家名為有米的移動(dòng)廣告供應(yīng)商所設(shè)的服務(wù)器，開(kāi)發(fā)者所使用的 SDK 也是由這家供應(yīng)商所開(kāi)發(fā)的。

這種行為已經(jīng)違反了我們的安全與隱私準(zhǔn)則，所以使用有米SDK 進(jìn)行開(kāi)發(fā)的軟件將會(huì)從 App Store 下架，提交的審核也會(huì)被拒絕。蘋(píng)果正在與開(kāi)發(fā)者進(jìn)行緊密合作，幫助他們將自己的軟件進(jìn)行升級(jí)，以配合App Store 的準(zhǔn)則，保證用戶信息的安全，盡快讓受到影響的軟件回到App Store。”

上面這一段話，是蘋(píng)果發(fā)言人向代碼數(shù)據(jù)分析機(jī)構(gòu)SourceDNA 發(fā)送的一次***回應(yīng)，因?yàn)楹笳咴?strong>近日有一段了不得的發(fā)現(xiàn)：App Store 當(dāng)中有一大批軟件會(huì)通過(guò)私人API 收集用戶資料，然后傳向有米的服務(wù)器。有米，這是一家來(lái)自中國(guó)的移動(dòng)廣告供應(yīng)商，他們自己有一套SDK，與之合作的開(kāi)發(fā)者可以使用他們的SDK 來(lái)開(kāi)發(fā)軟件。

通過(guò)使用自家的檢測(cè)工具，SourceDNA 在App Store 當(dāng)中發(fā)現(xiàn)了至少256 款使用有米SDK來(lái)開(kāi)發(fā)的軟件，所收獲的累計(jì)下載次數(shù)超過(guò) 100 百萬(wàn)次，這些軟件將會(huì)被蘋(píng)果一一下架(目前已經(jīng)有一批被下架)，其開(kāi)發(fā)者基本上也都來(lái)自于中國(guó)。一直以來(lái)，蘋(píng)果都不允許第三方 SDK 帶私有 API，但這一次有米明顯是繞過(guò)了 App Store 的審核機(jī)制。

根據(jù) SourceDNA 公布的信息，使用有米 SDK 開(kāi)發(fā)的軟件會(huì)收集以下信息：

1：安裝應(yīng)用的具體列表

2：iOS 設(shè)備序列號(hào)(識(shí)別號(hào))

3：硬件及外接設(shè)備的標(biāo)識(shí)符等信息

4：Apple ID 郵件地址

據(jù)了解，有米通過(guò)私有 API 收集用戶信息已經(jīng)不是一天兩天的事兒了，他們?cè)缭趦赡曛熬烷_(kāi)始這么干，并隨著時(shí)間的推移越來(lái)越肆無(wú)忌憚。也許是因?yàn)橛忻子刑貏e的隱藏?cái)?shù)據(jù)收集行為的技巧，蘋(píng)果也一直沒(méi)有發(fā)現(xiàn)他們所干的勾當(dāng)。收集了兩年的用戶資料才被發(fā)現(xiàn)，他們到底是怎么做到的呢，我們先來(lái)看看 SourceDNA 是怎么發(fā)現(xiàn)的。

背后的技術(shù)解析

[[152743]]

iOS 的二進(jìn)制文件包括 ARM 機(jī)器代碼，SourceDNA 會(huì)對(duì)這一些代碼進(jìn)行解析。調(diào)用一個(gè) Objective-C 方案時(shí)，它是通過(guò) objc_msgsend 來(lái)進(jìn)行矢量導(dǎo)航的，而且它是以字符串的方式來(lái)接收類別及方案。一般情況下，在調(diào)用 objc_msgsend 之前這些字符串可以通過(guò)查看數(shù)據(jù)參考來(lái)完成靜態(tài)解析。SourceDNA 會(huì)跟蹤這些調(diào)用目標(biāo)類別/方案的起源和目的，然后建立一個(gè)調(diào)用圖，用來(lái)探測(cè)每個(gè)(受到影響的)應(yīng)用程序是使用了哪種方案。

然而，在某些情況下，這些參數(shù)是不能被靜態(tài)解析的。因?yàn)樗鼈冎皇亲址鼈兛梢栽谶\(yùn)行時(shí)通過(guò)任何字符串操作例程來(lái)創(chuàng)建。所以，一些工具會(huì)利用這種特點(diǎn)來(lái)混淆類別和方案的名稱，在調(diào)用 objc_msgsend 之前解擾字符串。

一款應(yīng)用程序還可以通過(guò)調(diào)用 dlopen 來(lái)加載一個(gè)全新的資料庫(kù)，然后通過(guò)調(diào)用 dlsym 在這個(gè)資料庫(kù)里面訪問(wèn)相應(yīng)的函數(shù)或數(shù)據(jù)。這樣一來(lái)，動(dòng)態(tài)鏈接器在指定的文件中就會(huì)進(jìn)行勘查(首先檢查它的代碼簽名)，然后查找給定的符號(hào)地址。由于資料庫(kù)和符號(hào)名稱都是字符串，因此也可以在運(yùn)行時(shí)創(chuàng)建。

SourceDNA 對(duì)這一個(gè)在數(shù)以百萬(wàn)計(jì)應(yīng)用程序當(dāng)中存在的代碼行為進(jìn)行了解析，主要是確認(rèn)運(yùn)行時(shí)間里的資料庫(kù)加載是否被拿來(lái)訪問(wèn)私有的 API接口，SourceDNA 對(duì)他們所收集到(應(yīng)用程序)資料進(jìn)行排查，如果符合以下條件就證明應(yīng)用程序會(huì)收集用戶的個(gè)人信息：

-調(diào)用dlopen、dlsym 或 nsclassfromstring / nsselectorfromstring

-通過(guò)各種字符串控制函數(shù)來(lái)生成參數(shù)

經(jīng)過(guò)排查發(fā)現(xiàn)，有幾百款應(yīng)用程序符合他們的設(shè)定。這些應(yīng)用程序使用的是 sprintf 和 %s 格式字符串以及 %@ 和 NSString stringwithformat：。SourceDNA 為此還通過(guò)使用附近的靜態(tài)字符串寫(xiě)了一個(gè)腳本來(lái)擴(kuò)展這些格式字符串，然后對(duì)重構(gòu)的參數(shù)進(jìn)行聚合。***，就得到了有米 SDK 試圖收集用戶個(gè)人信息的證據(jù)。

至于為何有米通過(guò)私有 API 收集用戶資料的行為這么久才被發(fā)現(xiàn)，主要是因?yàn)檫@家移動(dòng)廣告商通過(guò)枚舉電池系統(tǒng)等外接設(shè)備突破了蘋(píng)果的限制，并且又以硬件標(biāo)識(shí)符的方式對(duì)設(shè)備的序列號(hào)進(jìn)行搜集，因此很難被查到。據(jù)了解，這是自 App Store 在 2008 年上線以來(lái)，***次有人以這樣的方式來(lái)繞過(guò)蘋(píng)果的審核機(jī)制。

蘋(píng)果做法可點(diǎn)贊

這一次的有米 SDK 事件很容易讓我們想起不久之前的 XcodeGhost，因?yàn)橹姓械亩际?App Store，而且源頭都是中國(guó)區(qū)。不過(guò)，其影響范圍可不僅僅是中國(guó)。上一次的 XcodeGhost 事件，主要是因?yàn)殚_(kāi)發(fā)者使用了來(lái)源不明的 Xcode 開(kāi)發(fā)工具所致，影響到的都是像微信、鐵路 12306、聯(lián)通手機(jī)營(yíng)業(yè)廳、高德地圖等非常熱門的軟件，蘋(píng)果也因此在***時(shí)間對(duì)受到影響的軟件進(jìn)行了暫時(shí)下架處理。

在本次事件中，SourceDNA 并沒(méi)有列出他們探測(cè)到的 256 款應(yīng)用程序名單，目前我們所知中國(guó)版的麥當(dāng)勞 App 已經(jīng)因?yàn)樵撌录獾较录芴幚?。我們還通過(guò)有米的官網(wǎng)了解到，像唯品會(huì)、淘寶網(wǎng)等知名 App 是他們的合作伙伴，至于是否受到影響目前還不得而知，有米方面至今還未對(duì)此報(bào)告作出回應(yīng)。

好在，無(wú)論是涉及到用戶安全還是隱私問(wèn)題，蘋(píng)果的態(tài)度一直都是“堅(jiān)決擁護(hù)”。XcodeGhost 事件如是，有米 SDK 事件如是，蘋(píng)果都在***時(shí)間作出反應(yīng)，該封殺的就封殺。

iOS 平臺(tái)也不是沒(méi)有出現(xiàn)過(guò)安全事故，但此前我們看到的惡意軟件感染事件基本上都是黑客直接把病毒植入偽裝的應(yīng)用程序內(nèi)，又或者是通過(guò)外部鏈接來(lái)引誘 iOS 上當(dāng)。然而這一次的 SDK 以及上一次的 XcodeGhost 事件，不法份子則是通過(guò)開(kāi)發(fā)軟件的源頭下手，《福布斯》雜志稱之為“一種全新的方式”。

近段時(shí)間曾有調(diào)查發(fā)現(xiàn)，中國(guó)已經(jīng)成為iOS 應(yīng)用最重要的市場(chǎng)，因?yàn)橹袊?guó)區(qū)的 App Store 應(yīng)用下載數(shù)已經(jīng)超過(guò)了美國(guó)(收入上還落后)。隨著 App Store 下載量的進(jìn)一步提升，中國(guó)區(qū)應(yīng)用市場(chǎng)這塊蛋糕也越來(lái)越大，而盯上蛋糕的黑客也自然越來(lái)越多。也許不久之后，我們又會(huì)見(jiàn)到“一種全新的方式”。

***說(shuō)一句，在本次事件當(dāng)中，開(kāi)發(fā)者也很可憐的，因?yàn)樗麄兒苡锌赡芤膊恢雷约洪_(kāi)發(fā)的應(yīng)用會(huì)搜集用戶的信息，因?yàn)橛忻赘緵](méi)有告訴他們。