SDK你可能不知道 但你的秘密它可知道
不做网络透明人
在手机App的世界里,法规条文里所谓的第三方应用或服务”是个看得见摸不着的存在。但事实上,不管是你每天收到的新闻推送,还是促销活动广告,甚至短信验证码,都有可能出自第三方之手。
这些集成在App里的第三方工具包被称为SDK(Software Development Kit,软件开发工具包)。它们可以帮助App高效率、低成本地实现地图、支付、统计、社交、广告等一系列功能,同时本身也具备获取相当一部分设备信息和用户个人信息的能力。
不过,由第三方SDK引入的安全问题也是显而易见的。比如因开发者的安全能力水平参差不齐,可能导致SDK的安全漏洞;还有开发者会故意预留后门”,以便收集用户信息或执行越权操作。
2015年10月,一款名为有米”的第三方广告SDK被发现收集了用户的个人身份信息,包括Apple ID邮件地址、设备识别码,以及安装在手机上的App列表信息。最后,使用有米SDK的256款App被苹果应用商店下架。
2017年8月,同样是第三方广告SDK的个信”被发现内置后门,在未经用户允许的情况下收集用户隐私数据,获取用户设备中全部已经安装App列表。嵌入该SDK的500多款App的总下载量超过1亿次,最终全部被Google Play下架。
为了摸清SDK获取用户个人信息的合规现状,近日,南都个人信息保护研究中心、中国金融认证中心(CFCA)对60款常用App以及主流SDK进行了测评,并联合发布《常用第三方SDK收集使用个人信息测评报告》(下称《报告》)。
《报告》显示,讯飞、TalkingData等SDK要收集的个人信息未在其嵌入App的隐私政策或弹窗中被提及,TalkingData、友盟SDK可能隐瞒了其要收集的个人信息,携程、百度地图等SDK则会将向自己的服务器回传未经加密的用户个人信息甚至个人敏感信息。
平均每款App使用19.3个SDK
SDK可清楚了解用户喜好
《报告》选取了社交交友、休闲娱乐、生活服务、购物导购、旅游交通、移动金融六大行业的60款常用App,通过逆向分析、抓包、函数挂钩等技术手段,分析这些App使用的SDK收集用户个人信息的情况。
去除普遍对App加固而无法确切检测的移动金融行业App,平均每款App使用的SDK数量为19.3个;按照App集成的SDK类别划分,消息推送类SDK最多,综合类和辅助开发类其次。
值得注意的是,其中微信SDK、腾讯Open SDK、小米推送SDK、华为SDK、支付宝SDK、Facebook SDK和爱彼迎SDK均被超过半数的App嵌入,而这些SDK都来自头部互联网公司。
从SDK被普遍使用的情况来看,App对SDK有较强的依赖性,SDK安全俨然已经成为整个移动互联网生态中极其关键的一环,它们收集哪些信息、如何使用和保护这些信息也就十分重要。
《报告》显示,在检测时间内,60款App使用的966个SDK中,有150个获取了IMEI、IMSI等手机设备信息,在所有类别中最为频繁;有35个以上SDK获取了各类网络信息,如IP地址、MAC地址、Wi-Fi热点信息等。
据南都记者了解,这些信息通常被用于统计分析和定向推送的目的。此外,还有10个SDK获取了用户行为信息,比如锁屏、安装/升级/卸载App。
高级产品研发专家马巍源曾撰文揭露过SDK收集用户信息的乱象,并将这些信息按照危险程度分为极高、高、中、低四个级别。其中获取本地已安装的App信息属于危险级别极高”的隐私信息。
文章指出,通过收集这类信息,SDK可以清楚了解用户的喜好——例如一个设备用户安装了某类同性交友App,那就意味着这种极其隐私的信息将被泄露”。
中国银行、宜人财富使用的SDK
获取录音、定位未告知用户
《报告》还发现,用户的电话号码、地理位置、手机视频和相册等个人信息也被一些SDK获取,有的是为了实现相应功能,但有的是未经用户允许获取的。
国家标准《信息安全技术 个人信息安全规范》修订草案要求,当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务时,应通过合同等形式明确双方的安全责任及应实施的个人信息安全措施,并要求第三方向个人信息主体征得收集个人信息的授权同意。
也就是说,SDK收集个人信息也需要经过用户授权同意。由于SDK不直接与用户交互,使用它的App有义务代为向用户告知。然而,不少App并没有做到——用户的隐私很可能在不知情的情况下被SDK收集了。
中国银行手机银行App的讯飞SDK可以对环境或通话录音”,中国银行手机银行App却没有提供任何隐私政策,更不用提能够告知并获取同意;宜人财富App和宜人贷借款App使用的TalkingData SDK获取了用户的地理位置,但均未在隐私政策里告知用户。
此外,《报告》还根据《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》,列出了113个SDK超出规范界定收集的非必要信息”,即App基本业务功能之外的个人信息(获取此类信息并不违规,但需要主动获取用户的同意)。
虽然国内对于第三方SDK获取非必要信息尚没有法律法规条文的规定,但依照知情同意”的原则,《报告》认为,即使这些信息并不是App本身需要,而是SDK需要收集的,App也应在收集上述个人信息时弹窗,获取用户同意,以保障用户知情同意的权利。
TalkingData、友盟SDK
或隐瞒收集用户个人信息
SDK实现功能需要申请对应的系统权限,但它收集的个人信息是否仅限于权限涉及的范围之内呢?
《报告》对15个较为主流的SDK进行深度分析发现,SDK需要申请的系统权限从5项到14项不等,极光数据分析SDK、百度地图SDK申请得最多。
在官方文档里提供了相关信息的10个SDK中,三成能够通过代码收集超出其声明权限范围的个人信息,可能存在隐瞒收集用户个人信息的情况。
比如TalkingData SDK仅声明会获取地理位置信息,但它的代码还包括读取第三方平台账户信息、已绑定的NFC支付卡信息等内容;友盟SDK有获取地理位置信息的代码,但并未声明。
《报告》指出,还有少数SDK会向自己的服务器回传未经加密的用户个人信息甚至个人敏感信息。值得注意的是,这里的未经加密可能存在两种情况,一种是未对通信渠道加密(如http),另一种是未对传输内容加密(如使用https但未对数据本身加密)。
比如Ping++SDK、TalkingData SDK、携程SDK、百度地图SDK会向服务器传输未经加密的地理位置信息。这些个人信息在App开发者、单个或多个第三方之间流动,增加了个人信息泄露、滥用的风险。
南都记者梳理发现,近年来出台的不少个人信息保护、数据安全相关法规和标准已经明确了管理SDK的必要性。
《数据安全管理办法(征求意见稿)》第三十条规定,网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。
《信息安全技术 个人信息安全规范》修订草案则要求,涉及SDK等第三方嵌入或接入的自动化工具的个人信息控制者,宜开展技术检测确保第三方的个人信息收集、使用行为符合约定要求;宜对其收集个人信息的行为进行审计,发现超出约定行为的及时切断接入。
采写:南都记者 蒋琳
SDK放置后门,绑架开发者和用户,还有什么是Facebook不敢的吗?
Facebook(中文称脸书)是美国的一个社交网站,在全球范围内广受欢迎(除了中国大陆、巴基斯坦、朝鲜、伊朗、叙利亚等10几个国家)。它和我们常用的微信比较相似,都是以实时通讯为主的社交产品。Facebook中更多的是加入了照片分享、朋友互动等多元的社交概念,其公司旗下,更是涵盖了2018年全球网友中使用率最高的10款软件中的四款:Facebook、WhatsApp、Facebook Messenger和Instagram。
由于历史和安全原因,国内的用户并不能直接访问Facebook。虽然不能直接体验其功能,但作为一个市值远超腾讯1000多亿美金的互联网巨头,其产品的功能和安全也饱受广大国内用户的关注,毕竟Facebook在2018年的中国广告客户收入达到50亿美元,约占其总销售额的10%。
今天,我们主要讨论的是其对隐私数据的收集问题,让更多的朋友们了解。
Facebook的隐私和安全事件回顾Facebook创始人
2018年3月,媒体报道:Cambridge Analytica公司,通过不正当手段访问了Facebook中8700万的用户数据,舆论一片哗然。另外有人分析,其曾在美国总统选举中发挥了重大的作用……2018年6月,媒体公开了Facebook 与苹果、亚马逊、三星、微软、黑莓等 60 家硬件设备厂商达成了数据分享的合作,后者可以获得 Facebook 用户以及用户好友的数据,包括感情状态、宗教信仰、政治倾向以及活动预告。2018年9月,Facebook遭受了有史以来最严重的数据泄露,影响了超过5000万的用户,其中包括老板小札,其本人也接受了美国国会的质询。2018年12月,一份重磅炸弹报告爆出:Facebook允许超过150家公司(包括Netflix,Spotify和Bing)访问前所未有的用户数据(如私人消息、好友信息等),一些合作伙伴甚至能写入和删除用户的私人消息。2024年1月,苹果公司禁止了Facebook用来收集用户数据的Market Research应用,并一度关闭了Facebook的开发者账号,其导火索便是其2013年收购的VPN软件Onavo。Onavo通过技术手段,试图避开苹果的监管机制,进而收集用户的隐私敏感数据。(最新消息显示,Facebook已经停止了Onavo项目,继从Apple Store下架之后,也从谷歌的Google Play市场下架)2024年2月,媒体曝出,有至少十几个热门应用,在未经用户同意的情况下秘密分享高度敏感”的数据,并上传到Facebook,不管你是不是Facebook的用户。疯狂的市场研究(Market Research)Facebook的成功,是抓住了互联网社交的机遇。从大学时代的照片排名,到后来的实时通讯,再到分享互动,让更多的网友在互联网的世界里体验到了社交的乐趣……
但其真正厉害的确是背后强大的运营。众所周知,Facebook是一款免费的社交网络产品,其收入来源主要就是广告,而怎么才能吸引广告主的青睐呢?靠的正是收集的全球几十亿用户的使用数据。
Facebook旗下的软件,能够在用户的授意或非授意中获取用户的使用数据,并上传到其服务器。这些数据中会包括用户的基本信息:如姓名、年龄、地域等。也包括用户的使用习惯:如经常访问的网页、经常使用的App、购买爱好等等。
有了这些数据,它就可以提炼精准的市场调研信息,进而为广告主提供更加精准的广告服务,虽然在中国不能正常使用Facebook,有好多人也不知道Facebook的存在,但其在中国2018年的广告收入却有50多亿美元,占其总收入的10%。
有了这些数据,合作方可以精准的投放自己的产品,甚至干扰市场,打击对手等等。
流量是王道,但其背后收集的数据才是真正的强者。抛开Facebook,另一家巨头谷歌(Google)也是一丘之貉,其基础服务(搜索引擎)背后,不也是强大的数据收集和广告推送吗?
在人人都说大数据的时代,如何才能建立起自己的大数据库?靠的不就是庞大的用户基数吗?
而现在,不关是Facebook本身,其它第三方的软件也能偷偷的给Facebook发送隐私数据,究竟是怎么一回事呢?
丧心病狂的SDK最近,媒体批漏:有好多款应用,在用户不知情的情况下,偷偷的将自己的隐私数据,发送到Facebook的服务器,而造成这次事件的主要原因就是,Facebook的SDK中含有后门,是关于事件处理(应用程序事件App Events)的。
SDK是什么?
SDK是软件开发工具包(Software Development Kit)的简称,是一些被软件工程师用于为特定的软件包、软件框架、硬件平台、操作系统等创建应用软件的开发工具的集合。简而言之,就是程序员用来开发产品时用到的工具包。
首先,这些产品都是使用了Facebook所提供的SDK,作为一个软件开发人员,深知SDK在开发中的重要性,如果连最基础的SDK都留有一手,那用户岂不是要遭受开发者和SDK的双重迫害?
其次,应用程序事件(App Events)是什么?我虽然没有用过Facebook的SDK开发过软件,但根据其名称推测,是跟事件处理息息相关的。
什么是事件处理?
应用程序中的事件处理通常指的是人和程序的交互过程,也就是说你使用这个应用程序的过程中的所有操作,都是由事件处理来完成的。如:打开、关闭、点击、触摸、翻页等等这些操作,应用程序都会给你反馈不同的信息。
事件处理的种类繁多,操作隐秘,而大部分也不会涉及权限操作,所以用户根本无法察觉。如果在此时,将用户的敏感数据上传,用户可能永远也不会知道,而系统也鲜有发觉。真的是隐秘而伟大”了。
我其实很想知道,同样是Facebook的React Native混合开发框架,会不会也有疑似的后门?
后话关注用户隐私,已成为了互联网的一件大事。网络的快速发展、应用程序的便捷给广大的消费者带来了实惠,但也带来了意想不到的安全隐患。民众更为在意隐私的国外和大公司尚且如此,我们刚刚蓬勃的国内市场又该如何?
前几天,京东金融的疑似上传用户照片,一经曝光也是哗然一片。国内很多公司,大都以Facebook为标杆,相信对隐私数据的处理方式,也不会比Facebook好到哪里去!几天前,官媒曾发表一篇文章:指出搜索某个东西,然后看见的全是关于这个东西的广告,这又能说明什么?在互联网的背景下,所有的数据来源都是不约而同的!
有人说,一天到晚讨论国外的公司、国外的隐私干什么?殊不知,在互联网的环境下,国界有时候并不是那么清晰,而且你不知道、你没听过的东西,正在悄悄的影响着你。Facebook的App你可能用不着,但很多由Facebook提供的SDK或是框架(React Native)开发的软件却正在被你使用!
再者,通过轰动全球的隐私事件,也能更好的警醒国内的软件开发者,商亦有道,用户第一!人人都在说苹果公司的不好,但苹果在处理用户的隐私方面却从来没有”含糊过,其在贵州云上存储,最起码能让国民的数据保留在国内……
新手入门干货 | 六步轻松上手Facebook广告投放(APP篇)
截止2024年第一季度,全球范围内Facebook,WhatsApp,Instagram及Messenger共有29亿月活用户。Facebook广告具有精准的目标定位功能,能够向最有可能关注您业务的用户展示您投放的广告。跟着Facebook官方代理商YinoLink易诺一起来看看如何快速轻松上手APP产品的Facebook广告投放吧!
一、选择一项符合您业务需求的营销目标1. 营销目标1:应用安装
获取新用户来下载您的应用,使用应用事件优化来寻找会在您的应用中采取有价值行动的用户。
2. 营销目标2:转化
在您的网站上或在您的应用程序中,通过像素或应用程序事件,与已经/尚未安装您应用程序的人一起,推动有价值的行动。
3. 营销目标3:品牌知名度
强化您的品牌,帮助您的业务获得长期成功,使您在人们心目中保持领先地位,使您的客户不断回购。
4. 机器学习在自动应用广告中的作用
机器学习阶段指的是广告管理工具中的投放系统收集信息来优化广告投放的阶段。机器学习完成的标志是7天内完成50次目标转化,例如您的营销目标是加入购物车,那么在7天内完成50次加购就说明广告已完成了机器学习。
机器学习后的广告在广告系列生成阶段的投入更少,同时可以帮助投放系统了解广告在哪些地方表现最好,AAA广告系列吸收上述学习成果并优化广告投放,逐步实现价值最大化。
二、找到对您的业务感兴趣的受众Facebook会自动将您的广告展示给那些最有可能觉得这些广告和自己相关的人。您可以用以下三个受众选择工具进一步对广告投放进行定位。
1. 核心受众
可以理解为关键词定位的受众,是Facebook数据定位广告受众,可以通过选择人口信息、地理位置、兴趣爱好、行为习惯、性别、年龄等来定义。
2. 自定义受众
也叫再营销受众,是在线上或线下已经和您的企业互动的用户,也是目前对您最有价值的目标受众。主要有三个来源渠道,已经在网站上有操作行为的人(网站必须要安装pixel);有邮箱的老顾客(平台或其他渠道的积累);与您Facebook主页有过互动的人。
3. 类似受众
利用已生成的自定义受众,创建与现有客户相似的类似受众,触及那些和您的现有客户类似的新用户,相同或相似特质可能体现在:地区、年龄、性别、兴趣和行为等等,这样广告就可以覆盖更多关注您业务的用户。可以选择1%-10%相似的用户。
三、寻找更多版位展示广告——使用自动版位最大化利用版位广告版位指的是您的广告可以在互联网媒体上面的投放位置。如果您在facebook广告平台上投放广告,您的广告可能会投放在facebook,facebook旗下的产品(Instagram、Messenger)及facebook的合作伙伴产品上(Audience Network)。
我们建议广告主选择自动版位(AP),通过自动版位,您可以在所有可用版位投放广告,从而提升广告投放效率,让预算获得更多成效。
创意测试是Facebook信息流广告的重要杠杆,为打造最具影响力的创意测试方法有以下五大关键考虑因素。
1. 定制化内容
在素材中突出和受众强相关的元素,就会让人感觉更有个性、更有吸引力。
2. 以转化为目标
将特定的素材与数据表现最好的素材进行比较,总结最吸引人的素材,分析其在获取新用户和激活老用户中能带来更好转化的潜在因素。
3. 更新创意
及时对广告素材进行更新,避免素材老化带来广告成效下滑。您的目标受众越精准,越需要频繁的素材更替。
4. 探索广告类型
根据您移动应用的内容、产品定位和目标受众的不同,适合的广告类型也会有所不同。通过测试找到合适的广告类型,让广告达到最好的效果。
5. 流畅的用户体验
协调您的落地页内容、主题和广告,创造流畅的用户体验。用量身定制的内容和创意去吸引受众,并在整个用户体验中延续这一策略来提高转化率。
五、用Test and Learn方法论找出您的最佳方案Facebook有大量的绩效衡量工具来帮您精确衡量广告成效,还会根据您的业务目标为您推荐改善广告表现的方法。
Facebook有三个关键的测试向导工具来帮您衡量品牌和转化方面的绩效,创意、受众、投放优化、版位是测试的四大关键要素。
A/B 测试
测试广告的不同版本,找出表现最佳的广告。关键指标是每结果成本或每转化提升的成本。
对照组测试
设置对照组,衡量Facebook广告带来的总体转化效果。关键指标为转化提升。
品牌提升调研测试
让您的受众投票,衡量Facebook广告为您带来的品牌影响。关键指标为品牌提升。
六、提前设置好您的信号1. 用事件和参数设置好Facebook SDK(一段安装在应用内用于捕捉应用事件的代码),以供后续优化和报告。
2. 投放广告时使用高级匹配,以增强匹配的精确度。高级匹配可以帮助您优化Facebook广告,提高归因转化量,扩大自定义受众规模,降低单次转化费用,从而获得更好的成效。
3. 用应用事件API追踪移动应用中发生的操作,例如应用安装和购买事件。通过追踪这些事件,您可以查看分析数据、衡量广告效果,以及为广告定位构建受众。
以上是Facebook代理YinoLink易诺为大家整理的六步轻松上手APP产品的Facebook广告投放,希望对大家有所帮助,如果有什么问题可以评论留言,我们会在第一时间帮你解决哦~
