睡梦中泄露隐私?这次苹果可能是被开发者害了
作为全球科技行业中的巨头,苹果可以说是一直活跃在新闻工作者的笔下,甚至一举一动都被放到了聚光灯下。而在刚刚推出了一款诚意缺缺的硬件产品新款iPod touch后,苹果针对App Store垄断这一烦心事,也专门上线了一个名为“实践与原则”的新网页,试图向外界解释自家应用商店并称不上垄断。
如果说App Store的垄断问题确实模棱两可,那么近日关于iPhone隐私泄露的相关报道,就真的让苹果有了一丝“总有刁民想害朕”的感受。日前,英国《每日邮报》报道称,许多热门iOS应用程序会在用户不知情的情况下泄露个人数据。
此前我们曾在相关文章中介绍过,《每日邮报》是一家被维基百科编辑团队“封杀”的小报,并表示其“疏于查证事实,制造耸人听闻的新闻,还有彻头彻尾地编制谎言”。不过这一次,《每日邮报》倒是没有搞个耸人听闻的大新闻,而纯粹是将《华盛顿邮报》此前的报道复读了一遍。根据《华盛顿邮报》进行的一项实验显示,在将iPhone连接上一个监控软件,随后竟然在iPhone中发现了近5400个追踪程序,而这些追踪程序能够向Amplitude, Appboy、Demdex等第三方数据分析公司不断发送个人数据。
《每日邮报》为这篇文章起了这样一个标题——How your iPhone harvests your personal data while you SLEEP(你的iPhone如何在你睡觉时,获取你的个人数据)。在《每日邮报》的报道中显示,这些追踪程序能够收集到的数据范围十分广泛,并且能够准确定位例如电子邮件、IP地址,以及详细位置等敏感信息,并且这些追踪程序会利用iPhone的“后台应用刷新”功能,而这一功能则允许应用程序在未被频繁使用的情况下传输数据。
但如果仔细看看这篇报道,不得不说《每日邮报》作为小报绝对是合格的,给消费者的感觉,则是誓要保护用户隐私的苹果居然自打脸了。毕竟当初在面对Facebook隐私泄露的问题上,库克可是信誓旦旦的表示,“如果把用户当做产品,那么我们能赚到一大笔钱,但我们选择不那样做”,“(苹果)并未涉足到个人数据业务”。
苹果自然没有打自己的脸,但这次却好像又被APP开发者给坑了,毕竟这5400个APP是第三方的,而非iOS系统提供,其中包括了Spotify、OneDrive、Yelp、DoorDash这些知名的常用APP。尽管收集用户数据是每个APP都难以避免的行为,但这次“后台应用刷新”功能却成为其绕过苹果监管机制的武器。
众所周知,在iOS 7时代苹果将iOS从“伪后台”进化到了“智能后台”。这也就意味着一旦手机锁屏,后台应用将也会很快被暂停,但当手机被唤醒时,此前暂停的后台应用才会一起继续运行,而这一设计也有利于实现更长的续航时间。
同样是在iOS 7时代,“后台应用刷新”功能首次被加入到系统中,其核心作用就是让设备处于WiFi或者数据网络连接时,能够检查处于暂停状态的APP有没有更新内容。但开启后台应用刷新就导致即使其不在当前屏幕中,这些应用也会不断向服务器发送数据交互请求。
但苹果的做法,不是“将大部分数据保存在设备上,并使用用户的密码加密”吗?那么这些内嵌追踪程序的APP明明应该做不到泄露IP地址和位置等敏感信息的。事实上通常来说确实如此,经过APP Store审核上架的应用无法获取iPhone的IMEI、IMSI码,以及其他敏感性信息,但神通广大的开发者还是能够通过安装描述文件等其他曲线救国的方式,来获取设备的当前信息,并将设备与用户进行精准匹配。此次的BUG就出现在应用刷新的过程中,由于未知因素,应用的数据交互突破了苹果隐私政策限制,并将一些必须留在本地的数据上传到了服务器中。
事实上,苹果针对这种APP获取用户数据的斗争已经持续很多年。早在iOS 5时代,苹果让iPhone的UDID设备唯一标识符退出历史舞台,但为了获取数据,开发者拿出了OpenUDID,这是一个在UDID被禁用后的开源方案,原理是利用剪贴板在同一设备上的不同应用间,共享一个特别的OpenUDID,再搭配读取Mac地址,来实现精确定位用户。而之后在iOS 7时代,剪贴板功能被严格限制,也使得OpenUDID没有了用武之地,此时获取Mac地址会仅仅只会返回一个固定值。
因此在此次被曝光的5400个追踪程序事件中,如果非要说苹果有责任的话,可能就是App Store的审核还不够严格了。
【本文图片来自网络】
推荐阅读:
一场无差别充电比赛,让我们重新认知了手机快充
快充功率大就一定充电快?看完这场比赛你会发现并不是这么简单。