应用上架审核被认为追踪用户行为导致被拒,这块怎么破?

2021-04-06 09:23:10 +08:00
 junho

应用本身已经上架了好几年,最近更新版本是被拒绝了,原因是苹果因为 APP 手机收集设备信息生成唯一 id 追踪用户。

“We found in our review that your app collects user and device information to create a unique identifier for the user's device. Apps that fingerprint the user's device in this way are in violation of the Apple Developer Program License Agreement and are not appropriate for the App Store.

Specifically, your app uses algorithmically converted device and usage data to create a unique identifier in order to track the user. The device information collected by your app may include some of the following: sysctl, serviceSubscriberCellularProviders, NSFileSystemSize, isoCountryCode, and NSProcessInfo.”

关于设备唯一 id,app 本身用了 CFUUIDCreate 来创建唯一 ID 存在 keychain 里(原因是业务要求同一个账号只能在限定设备数量登录,多了就要用手机验证),然后用到的不少第三方库也是有用到这个函数。 然后上面提及的函数,也是有不少 SDK 使用了(例如极光一键登录、阿里推送、百度统计啥的)。 所以先回复了苹果这些函数都是基于合理的需求使用而非生成设备唯一 id,然后收到回复

“We continue to find that your app collects user and device information to create a unique identifier for the user's device. Your app may be using some of the following API to create a unique identifier for the user's device: XX_FINGERPRINTING_METHODS_XX.”

根据提示,根据 FINGERPRINTING 关键词搜了所有 SDK 都没发现类似的。这时候就很尴尬了,不清楚苹果判断的标准是啥,也不知道哪些 SDK (闭源的)是有问题的。

有无相关经验的 V2 可以分享下如何处理?

PS:我遇到的情况跟这篇文章基本一致 https://www.ithome.com/0/543/769.htm

6157 次点击
所在节点    iDev
18 条回复
CoCoMcRee
2021-04-06 09:55:21 +08:00
把第三方 SDK 更新一下
然后 设备唯一表示用这个库
pod 'FCUUID'
typetraits
2021-04-06 10:17:11 +08:00
所以为什么不写明 app 会追踪用户呢
hstdt
2021-04-06 10:24:06 +08:00
CFUUID 和隐私没关系,感觉你找错方向了
kera0a
2021-04-06 10:24:28 +08:00
我也用了,这玩意应该不能追踪吧?这也过不了审?
icyalala
2021-04-06 10:24:53 +08:00
就是某个第三方 SDK 被苹果标记了,但是苹果不会明说,不然 SDK 就会针对性修改。
zsyld
2021-04-06 10:27:49 +08:00
感觉仅仅用了 CFUUIDCreate 是没问题的,
问题是你同时收集了‘sysctl, serviceSubscriberCellularProviders, NSFileSystemSize, isoCountryCode, and NSProcessInfo’
很像前几天的热搜百度 头条之类的搞的什么 CAID ??
junho
2021-04-06 10:28:09 +08:00
@icyalala 我觉得是,但是就是不知道是哪个用到的 SDK 搞这幺蛾子。。。苹果也没明说,反正就是让我移除跟踪代码后才能提交审核
Dashit
2021-04-06 10:28:54 +08:00
发个 ipa 出来看一看。
junho
2021-04-06 10:30:12 +08:00
@zsyld 多谢提醒,我搜了下所有 SDK 的符号表,发现都有百度统计这个 SDK 都有使用到苹果提到的函数,联想到百度的尿性,emmmm
IssacTseng
2021-04-06 10:31:21 +08:00
获取 IDFA 要获得用户的许可,不获取许可直接拿会被拒。
mirari
2021-04-06 10:36:48 +08:00
楼主有没有接入百青藤、优量汇之类的广告 SDK ?
loginbygoogle
2021-04-06 10:40:04 +08:00
各种推送各种联盟都是垃圾
liaoyaoheng
2021-04-06 10:41:59 +08:00
说你有问题就整改呗。
murmur
2021-04-06 10:43:07 +08:00
百度统计那真的是隐私收集,没毛病
Jirajine
2021-04-06 10:43:14 +08:00
不如干脆直接拉黑 SDK,直接告诉你你的程序中含有恶意代码,恶意代码为 xxx sdk 。
cairnechen
2021-04-06 11:30:33 +08:00
我没太懂,我感觉你列举的这些 sdk 都用了生产唯一 id 的方法,为啥只有百度统计被揪出来了
junho
2021-04-06 11:37:06 +08:00
@cairnechen 苹果没有指明是哪个 SDK 有问题,我觉得百度统计有问题是因为它明确使用了 CAID (这也是最近苹果和国内某些大厂闹矛盾的原因)
littiefish
2021-04-06 12:33:44 +08:00
@junho 没有指明就会自我阉割,对用户来说是好事

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/768238

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX