iOS 上贴吧 App 后台发送 IMEI 等信息,属于正常行为吗

2018-07-28 11:14:29 +08:00
 icylogic



本来我已经不用贴吧了,为了给 https://www.v2ex.com/t/474848?p=1 这个帖子的楼主演示一下本地拦截广告和追踪的功能,就想起了用百度系应用演示一下,结果拦截是成功拦截了,但发现日志里出来这么一条(这里的 imei 应该是编码过的)。我印象里 iOS 很久以前就不允许获取 IMEI 了,他可能是找了什么非公开的 api 吧。无论如何,这个行为应该是不正常吧?可能百度系其他应用也有这个行为?

以及怎么举报比较有效?我去 https://reportaproblem.apple.com 只能看到最近买的一些 app

另外我在 iPhone 上也看到了同样的现象。


题外话。拦截效果如下

6294 次点击
所在节点    全球工单系统
27 条回复
dalieba
2018-07-28 12:22:38 +08:00
歪常
laoyur
2018-07-28 12:37:28 +08:00
也许是历史遗留字段,用 uuid 之类的替代了,不过还是能起到追踪用户的作用的,但要说这个真的是 IMEI 变换来的,我不太信
zj299792458
2018-07-28 12:40:06 +08:00
确认与本机的 IMEI 一致?
icylogic
2018-07-28 12:51:33 +08:00
@zj299792458 它不是直接发的数字,是编码过的,我也不知道什么编码,只能说手机和平板发送的不一样。
icylogic
2018-07-28 12:54:24 +08:00
@laoyur 我看了下感觉是不知到用什么信息生成的 CUID,但总之是在用设备信息追踪吧。
cairnechen
2018-07-28 12:56:15 +08:00
那只能怪苹果了,留了 keychain 这个漏洞,别人想跟踪用户设备只需要生成一个 uuid 就行了( imei 只是一个命名而已)
icylogic
2018-07-28 12:58:40 +08:00
搜到一篇不知道是否相关 http://www.semyouhua.com/m/view.php?aid=1117 ”百度移动统计根据设备出厂 IMEI 号或 MAC 地址精确识别每个用户,在 iOS7 系统禁用 MAC 地址的情况下,系统会自动生成唯一设备标识符,即百度 CUID。 ”
icylogic
2018-07-28 13:00:06 +08:00
@cairnechen #6 苹果的责任另说,利用漏洞也不是正当行为。。。
cairnechen
2018-07-28 13:10:06 +08:00
@icylogic 法无禁止即可为,苹果没有明确规定利用 keychain 保存设备标识是否合规(现在已经成了主流做法),被人利用也无话可用,百度获取的也不是 IMEI (也不可能获取到)

/t/471254
finab
2018-07-28 13:15:11 +08:00
@cairnechen
keychain 这个不能叫漏洞。 这个也做不到跟踪,不同公司 APP 之间 keychain 数据不共享,天猫上生成的和贴吧上生成的是两个不一样的
跟踪可以通过账户信息手机号 IP 等, 但这个 uuid 不行

实时上生成一个 uuid 保存在 keychain 并不违反苹果的规定,本来就是用于存放账号、密码、认证信息等等的
uuid 顶多相当于设备的一个 token 吧
mcluyu
2018-07-28 13:16:03 +08:00
再正常不过了,你再去抓几个 APP, 都能找到类似的字段,IMEI 现在 iOS 肯定是拿不到了,楼上说的,只是字段名遗留下来了,设备识别标志绝大多数 APP 都会集成并发送, 不管是自己做还是第三方服务集成,肯定都会有,大多数的可能就是用于数据统计分析
cairnechen
2018-07-28 13:20:20 +08:00
@finab
我理解的跟踪和你理解的跟踪不一样,可能楼主的理解也和你不一样,如果一个应用在我卸载重装之后还能记住我之前的数据,那就是跟踪,至于不同应用之间的共享,那只是更大范围的跟踪罢了
zj299792458
2018-07-28 13:31:22 +08:00
@icylogic 那其实没法证明那就是 IMEI


@cairnechen keychain 是故意设计的 feature,怎么能是漏洞……
finab
2018-07-28 13:31:37 +08:00
@cairnechen
是的,就只是相当于某些情况下,用户没有将设备设为全新设备的权利了

另外多说点,我在你帖子里看到苹果的一句话 “ your iphone should look like the same as everyone else ”
我的理解是这是对于所有 App 开发者来讲的。厂商有一个新用户时,他无法得到用户信息,因为“ same as everyone ”

苹果允许 keychain 保存账号密码,这时候就不适用“ same as everyone ”了,因为他都让你保存账号、密码、令牌了....
个人看法,错了请指正😀
cairnechen
2018-07-28 13:56:28 +08:00
@zj299792458
如果你把苹果至少有两次 beta 版本尝试卸载应用后删除对应的 keychain 记录当作 bug,那你把这当作 feature 也没问题,只是这不是一个我喜欢的 feature,也不是一个保护隐私的 feature

@finab
考虑到"还原“是一个使用率很低的功能,应用使用 Keychain 保存 uuid 实质上完成对设备的标记,其次 Keychain 之所以叫 Keychain 就是苹果希望它能用且只能用来保存账号密码,而不是像现在这样用来保存设备标识,解决这个问题我能想到的办法
1、将写入 Keychain 视为一种权限申请、必须经过用户同意才能写入 Keychain
2、允许用户管理 Keychain 保存的内容
3、之前有传闻苹果意图收购 1password,如果集成这个而废弃现在 Keychain,也是一种可行解

不管怎样,我认为不经用户允许将用户设备标记是一种侵犯隐私的行为,某种程度上这比 Android 设备获取 IMEI 更糟糕(那个你至少是可以拒绝的,而 iOS 应用你连拒绝的权力都没有,当然,IMEI 的危害更大,因为它是真正设备“唯一”的)
Nathael
2018-07-28 14:02:08 +08:00
贴吧比较喜欢监控语音,提取关键字推广告..
icylogic
2018-07-28 14:55:48 +08:00
@zj299792458 的确是没法证明是不是。严谨地只能说是利用可以标注设备的什么信息生成的。。
我不是做 App 的,不太理解现在这种默认的做法,晚点发个邮件问问苹果的意见吧。
icylogic
2018-07-28 14:59:48 +08:00
@cairnechen 谢谢你的解释,我大概明白现状了。
donething
2018-07-28 16:38:16 +08:00
楼主用的抓包软件要什么名啊?看起来挺好用的
otakustay
2018-07-28 16:41:22 +08:00
1. 极大概率这东西不是 IMEI,只是复用了一个字段名称(比如在 android 上,或者在历史上就真的是 IMEI )
2. 在不是 IMEI 的前提下,作为一个 App 追踪一个设备,多个 session 间确认是同一设备,我认为是一个很合理的需要,没必要怀揣恶意地否定开发者的这类需求
3. 如果不放心,就当向苹果申诉请苹果确认这一行为是否违规以及是否有危害,而不是先入为主对地在假定对方作恶的前提下,试图去“证明这是 IMEI ”,没必要也暴露了自己的不公正

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/474872

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX