|
【PConline 专访】近日,外媒报道称因iOS平台上众多使用有米SDK的App,有收集用户个人数据的行为,而被苹果下架。发出此安全通告的正是SourceDNA研究机构。捕捉到此讯息后,360 Nirvan Team(涅槃团队)迅速做出响应,对有米SDK进行分析,证实有米SDK通过调用大量私有API对手机用户隐私进行搜集。据悉,目前通过动态扫描已发现1035款App受此影响。 得知此消息后,PConline网络安全频道也在第一时间到访360公司,找到负责此次有米SDK搜集用户隐私事件,同时也是360 Nirvan Team(涅槃团队)的负责人高雪峰,就有米SDK、用户隐私以及iOS安全等问题,进行了一次面对面的深入沟通。
如今,用户对移动广告投放效果监测可量化的需求与日俱增,为解决移动APP榜单刷量作弊问题,大部分广告平台强化了SDK防作弊模块,增加更多设备验证的信息。与此同时,移动互联网广告公司靠SDK获取用户个人信息的现象层出不穷,甚至被视为行业的潜规则。 那么,针对此次有米SDK获取iPhone用户隐私事件,360又是如何在初期发现的呢?对此,高雪峰介绍到:“前期,我们从国外的研究网站了解到,有米SDK涉及获取iPhone用户信息的安全问题,有一些安全报告,于是我们想通过自己的方式,去进一步了解事件都涉及了哪些内容。” 实际上,此次能够发现有米SDK并及时作出处理,还要得益于360公司自身的安全预防机制或称其为威胁情报,可以搜集到国内外与iOS安全相关的所有资讯,筛选排查检索,可以得到每天最新发生的安全事件,并及时给予响应处理。 近年来,大批iOS应用为了在APP冲榜,选择了相对成本低廉的作弊行为,而移动广告投放的监测技术门槛较高,后台数据结构繁复,监测维度指标较多等情况的存在,又给移动广告投放过程中衍生的作弊行为提供了“温床”。对此,360涅槃团队负责人高雪峰指出:“由于苹果采取闭源方式,安全由苹果把控,iOS的开发者只需关注软件的功能性。但从以往的实践中我们看到,苹果对于自身安全还不能做出100%的保证。” 这不禁让人猜想,未来iOS系统的安全将是何种走向。从过去的经验来看,未来iOS系统越狱的难度会越来越高,每一次发布苹果都会在系统中增加很多更强的安全机制。此外,随着外界对iOS的关注度提高,外界也会不断的向苹果提交安全漏洞,同时苹果内部也有很多安全机制可以修复漏洞,借助漏洞进行越狱只会愈加复杂。当然,安全是场持久战,相信攻方后继会出现更多的攻击思路,攻守双方的博弈远没有结束。 最后,针对广大的开发者,高雪峰也给出了一些忠恳的建议与经验分享:“首先,要从官方网站上下载正规的软件编辑器;其次,开发者当用到SDK或是开源时,最好事先仔细阅读相关的代码,看其中是否有涉及到用户隐私问题,增强安全意识;最后,就是多学多看多了解与iOS开发相关的内容,很多安全风险都可以在开发阶段避免。” |
