1.媒体来源:
ithome
2.完整新闻标题:
中国广告商违规使用Private API,苹果自App Store移除数百个行动程式
Private APIs为iOS框架中所保留的各种功能,只供苹果内部开发人员打造iOS内建行动程
式时使用。这些API能够存取诸如摄影机或蓝牙等装置的资源,或是装置编号等资讯,也
较无运行限制。
3.完整新闻内文:
文/陈晓莉 | 2015-10-20发表
苹果的安全防线一再被中国开发人员破解。本周安全分析业者SourceDNA指出,苹果的
App Store中出现了256个非法使用Private APIs的行动程式,以用来蒐集使用者的个人资
讯,且相关程式全都使用了由中国行动广告业者所提供的SDK,苹果已证实此事,并着手
将相关程式移除。
Private APIs为iOS框架中所保留的各种功能,只供苹果内部开发人员打造iOS内建行动程
式时使用。这些API能够存取诸如摄影机或蓝牙等装置的资源,或是装置编号等资讯,也
较无运行限制。为了防止外部开发人员使用这些API,苹果在开发人员协议中明文禁止使
用这些API,也未提供Private APIs的说明文件,采用Private APIs的第三方程式理应无
法通过App Store的上架审核程序。
但SourceDNA发现,虽然苹果会过滤采用Private APIs的行动程式,但开发人员若于程式
运行环境嵌入可存取Private APIs的字串,便能逃过苹果的侦测。而且这些违法使用的
Private APIs都是出现在由中国广告业者“有米”(Youmi)所提供的SDK中,总计有256
款iOS程式采用了有米API,下载次数已达100万次。
苹果并未确认所移除的行动程式数量,仅说该公司在App Store中发现一票行动程式使用
了有米的行动广告SDK,该SDK透过Private APIs来蒐集使用者的个人资讯,包含电子邮件
帐号及装置序号等,并将数据传送到有米的服务器上,此举已违反了苹果的安全及隐私准
则。
因此,所有采用有米SDK的行动程式都将被移除,苹果也会拒绝其他采用有米SDK的行动程
式。同时着手与开发人员合作以协助他们更新程式,尽快让符合苹果规范的安全程式重新
上架。
有米旗下负责行动广告的优蜜移动亦随之发表声明,先是向程式遭到下架的开发人员致歉
,表示正在进行补救措施,包括与苹果展开协调、建议开发人员移除有米SDK,以及同意
释出合理的赔偿等。类似优蜜移动的行动广告业者可说是行动时代的广告联播商,他们蒐
集了丰富的广告来源,并与开发人员合作在程式中递送广告,再和开发人员分享广告收益
。
这并不是第一个滥用苹果Private APIs的例子,却是第一个滥用Private APIs还光明正大
登上App Store的例子。先前资安业者Palo Alto Networks曾揭露另一由中国开发人员打
造的iOS恶意程式YiSpecter,该恶意程式一方面使用了Private APIs来从事恶意行为,另
一方面则利用苹果的企业专案(Apple Developer Enterprise Program)进行散布,企业
专案允许使用者透过App Store以外的管道下载iOS程式,意谓著夹带YiSpecter的程式并
没有经过苹果的审核,也未进驻App Store。
此外,还有一名中国开发人员改写了苹果的Xcode程式开发环境,使其可回传装置资讯,
并将改写过后的XcodeGhost版本置放在云端硬盘以开放外界下载,估计有数千款基于
XcodeGhost的iOS程式通过了苹果的程式审核程序,并成功于App Store上架。(编译/陈
晓莉)
4.完整新闻连结 (或短网址):
http://www.ithome.com.tw/news/99385
5.备注:
这样子也太大胆了吧! 明明说不能还偷偷来! 中国开发人员到底在想什么~"~