1.媒體來源:
ithome
2.完整新聞標題:
中國廣告商違規使用Private API,蘋果自App Store移除數百個行動程式
Private APIs為iOS框架中所保留的各種功能,只供蘋果內部開發人員打造iOS內建行動程
式時使用。這些API能夠存取諸如攝影機或藍牙等裝置的資源,或是裝置編號等資訊,也
較無運行限制。
3.完整新聞內文:
文/陳曉莉 | 2015-10-20發表
蘋果的安全防線一再被中國開發人員破解。本周安全分析業者SourceDNA指出,蘋果的
App Store中出現了256個非法使用Private APIs的行動程式,以用來蒐集使用者的個人資
訊,且相關程式全都使用了由中國行動廣告業者所提供的SDK,蘋果已證實此事,並著手
將相關程式移除。
Private APIs為iOS框架中所保留的各種功能,只供蘋果內部開發人員打造iOS內建行動程
式時使用。這些API能夠存取諸如攝影機或藍牙等裝置的資源,或是裝置編號等資訊,也
較無運行限制。為了防止外部開發人員使用這些API,蘋果在開發人員協議中明文禁止使
用這些API,也未提供Private APIs的說明文件,採用Private APIs的第三方程式理應無
法通過App Store的上架審核程序。
但SourceDNA發現,雖然蘋果會過濾採用Private APIs的行動程式,但開發人員若於程式
運行環境嵌入可存取Private APIs的字串,便能逃過蘋果的偵測。而且這些違法使用的
Private APIs都是出現在由中國廣告業者「有米」(Youmi)所提供的SDK中,總計有256
款iOS程式採用了有米API,下載次數已達100萬次。
蘋果並未確認所移除的行動程式數量,僅說該公司在App Store中發現一票行動程式使用
了有米的行動廣告SDK,該SDK透過Private APIs來蒐集使用者的個人資訊,包含電子郵件
帳號及裝置序號等,並將數據傳送到有米的伺服器上,此舉已違反了蘋果的安全及隱私準
則。
因此,所有採用有米SDK的行動程式都將被移除,蘋果也會拒絕其他採用有米SDK的行動程
式。同時著手與開發人員合作以協助他們更新程式,儘快讓符合蘋果規範的安全程式重新
上架。
有米旗下負責行動廣告的優蜜移動亦隨之發表聲明,先是向程式遭到下架的開發人員致歉
,表示正在進行補救措施,包括與蘋果展開協調、建議開發人員移除有米SDK,以及同意
釋出合理的賠償等。類似優蜜移動的行動廣告業者可說是行動時代的廣告聯播商,他們蒐
集了豐富的廣告來源,並與開發人員合作在程式中遞送廣告,再和開發人員分享廣告收益
。
這並不是第一個濫用蘋果Private APIs的例子,卻是第一個濫用Private APIs還光明正大
登上App Store的例子。先前資安業者Palo Alto Networks曾揭露另一由中國開發人員打
造的iOS惡意程式YiSpecter,該惡意程式一方面使用了Private APIs來從事惡意行為,另
一方面則利用蘋果的企業專案(Apple Developer Enterprise Program)進行散布,企業
專案允許使用者透過App Store以外的管道下載iOS程式,意謂著夾帶YiSpecter的程式並
沒有經過蘋果的審核,也未進駐App Store。
此外,還有一名中國開發人員改寫了蘋果的Xcode程式開發環境,使其可回傳裝置資訊,
並將改寫過後的XcodeGhost版本置放在雲端硬碟以開放外界下載,估計有數千款基於
XcodeGhost的iOS程式通過了蘋果的程式審核程序,並成功於App Store上架。(編譯/陳
曉莉)
4.完整新聞連結 (或短網址):
http://www.ithome.com.tw/news/99385
5.備註:
這樣子也太大膽了吧! 明明說不能還偷偷來! 中國開發人員到底在想甚麼~"~