最近,不少App产品陆续遭遇Apple拒审或下架整顿的尴尬情况。原因是App不符合《Apple Store审查指南》中的5.1.2条款:Privacy-Data use & sharing(隐私-App内数据使用和共享)。
其中一位用户的拒审信息如下:
违规的理由是:App收集设备信息用于生成设备指纹。Apple发现,App使用了以下方法:setBootTimeInSec:, setCarrierInfo:, setCountryCode:, setDeviceName:, setDisk:, setLanguage:, setMachine:, setMemory:, setModel:, setSysFileTime:, setSystemVersion:, and setTimeZone。通过以上方法获取的设备信息,经过一定的算法转化后,创建了设备的唯一标识符,以此跟踪用户。因此,这些设备信息需要慎重采集了。
易盾在分析后发现,很多的广告组件使用了这些功能,比如某条、某鹅的广告SDK。App在删除了以上广告组件后,得以成功上架。
另外一位用户也收到了类似的拒审信息,如下:
Apple发现,App里使用了以下方法:NSLocaleCalendar, NSLocaleCountryCode, NSLocaleScriptCode, NSLocaleUsesMetricSystem, NSLocaleIdentifier, NSLocaleCurrencySymbol, NNSLocaleLanguageCode, NSLocaleCurrencyCode, NSLocaleVariantCode, NSHomeDirectory, NSFileSystemSize, NSUserName, NSFullUserName, NSFileCreationDate, getifaddrs, sysctl, sysctlbyname, UIDevice, NSProcessInfo, CTCarrier, NSFileManager, and NSTimeZone。这些也跟设备信息获取有关。
01 Apple隐私政策大调整
同一个应用,以前上架都很顺利,怎么突然因为不符合Apple的审核规则而被拒审呢?
原来,Apple最近收紧了用户隐私政策说明,其中提到:自从iOS 14.5 beta版本开始,不仅仅要在App里说明收集的设备信息数据,还需要取得用户的授权才能进行跨应用的跟踪。
同时,最新隐私政策特别提到了第三方的一些组件,包括广告、分析SDK等。这些第三方组件都会收集用户的设备信息,App开发者要特别注意。
既然,上面提到的那些设备信息已经不能再作为安全的采集项了,那么设备指纹方案要如何实现呢?
02 设备指纹同步隐私政策
易盾设备指纹方案,跟随着Apple政策变化、iOS版本升级,不断的进行着优化迭代。
新方案通过采集Apple隐私政策说明里的无关数据,结合多年设备积累和数据沉淀,生成稳定且唯一的设备指纹,不易篡改,方便易用。
即便同一个设备想方设法篡改了某些信息,我们借助于丰富的设备库,使用特定的找回算法,仍然能定位到原始设备。
易盾设备指纹方案优势:
1、跨应用设备指纹的唯一性
2、跨应用设备指纹的稳定性
3、不受系统升级、App升级、App重装等影响
4、不受改机工具的影响
5、不采集拒审信息里提到的设备信息,不侵犯用户隐私
6、符合苹果开发者审核政策,不影响上架
03 总结
网易易盾设备指纹, 通过海量设备指纹库和独特的找回算法,有效识别设备篡改等作弊行为,甄别模拟器、云真机等造假手段,定位各类环境风险,识别应用注册、登陆、签到以及其它后续行为中的作弊风险,有效防范羊毛党、恶意刷单等虚假欺诈行为,让造假者无处遁形。
经过多年技术深耕,易盾在iOS设备指纹方面有着诸多积累,具备了客户端、服务器端两种方式并存的模式,并且在兼容性、有效性、便捷性等方面具有相当的优势,为应用反作弊、数据风控提供有效的安全保护。