有米SDK存在安全隐患 多款手游遭苹果下架

苹果紧急下架了超过256款移动应用，这些应用的共同特点是使用了有米公司提供的SDK接口。据移动网络安全机构SourceDNA发布的调查报告，有米提供的SDK存在严重的安全漏洞，可以绕过苹果审核机制搜集用户的隐私。

目前至少有256款应用使用了有米的API，相关的App累计下载量超过100万人次。SourceDNA发现通过有米API可以收集iOS用户的电子邮件地址和设备标识符等数据，并把它们传输给有米管理的服务器。这些数据包括手机上的App列表、设备的平台序列号、硬件组件及组件序列号甚至是用户的Apple ID邮箱。

接到SourceDNA的报告后，苹果方面也回应称：“我们发现一批App涉嫌使用私人API收集用户个人信息，包括邮件地址、设备认证信息以及路由数据，而这些App都使用了有米开发的第三方广告SDK。此行为违反了我们的安全和隐私准则，凡使用有米SDK的App均将做下架处理，新App如果使用了该SDK也将遭到拒绝。” 

苹果正在与受害的开发者紧密合作，帮助他们升级应用版本，以确保它们对用户是安全的，并符合苹果的指导政策，尽快回到App Store。

苹果并没有给出具体被下架的App列表，在对照有米官网提供的15个成功案例在App Store进行搜索，发现《开心水族箱》《爸爸去哪儿2》《找你妹》三款知名手游均不能在App Store正常搜索，很可能是因为使用有米的SDK遭苹果下架。但其中也有像《火柴人联盟》《疯狂猜成语2》等手游没有受到波及，可能已经及时停用了有米SDK。

《火柴人联盟》的开发者表示：“10月11日的时候，我们向苹果提交更新版本，但是被苹果给拒了，说‘有米’有问题。后来，我们把有米的SDK去掉后重新提交，10月13号又审核通过了，不然估计我们游戏也要被下架。” 

有米是一家为应用开发者提供广告接入的移动广告运营商，能为移动开发者提供视频广告、网页墙、积分墙、插屏广告和广告条等移动广告的接入。

在SourceDNA的安全报告指出，苹果一直禁止使用私有API，iOS 8里就禁止应用读取设备序列号。这是它们第一次发现有App可以成功绕开苹果的审核机制，有米的SDK能通过枚举电池系统等外部设备，突破了苹果的限制，以硬件标识符的方式搜集发送这些序列号。这一搜集用户隐私的行为已经长达一年之久都不为人所知，SourceDNA警告称发生这种漏洞也不会是最后一次。

在今天上午，有米官方也做出回应，希望被下架的产品先去掉有米SDK，迅速向苹果申请再次上线，它们将会为开发者提供合理的赔偿方案。具体的公告如下：

针对本次App Store拒绝有米SDK上架处理方案说明

致广大辛勤开发者

对于本次因有米SDK被苹果下架的开发者，有米在此表示诚挚的歉意，针对此次事件，我们正紧急的进行补救措施：

1.有米正在积极的与苹果官方进行联系沟通，希望第一时间能妥善解决此事;

2.被下架的产品，请先去掉有米SDK，迅速向苹果申请再次上线;

3.对于被短暂下架的产品，待事情妥善解决后，我们将会给出合理的赔偿方案。

再次对受到影响的开发者表示深切歉意!

优蜜移动

2015.10.20 

今天下午14点44分，有米官方又发表新的声明，称只是实现过程不符合苹果的规定，并非存在安全漏洞。

来源：触乐网