蘋果禁用UDID后續:開發者應盡早放棄UDID
此前在雷鋒網的《蘋果禁用UDID讓開發商焦頭爛額,如何解決后續問題?》一文中,就曾經引用過Tweetbot開發商Tapbot的Paul Haddad的評論。而Paul在3月29日發布的最新博文中就此事作出確認:“最近有很多謠言說Apple將要拒絕發送UDIDs的應用了,但是一直沒有Apple直接的確認。今天上午我們剛剛得到了確認,盡管這是通過被拒絕的形式得到的。”
Paul Haddad的應用的最新版因為使用UDIDs而沒有通過Apple的審查。Haddad接到了Apple的一封Email,該Email引用了App Store Review Guidelines(https://developer.apple.com/appstore/guidelines.html)的第17.1節。郵件內容直接指明因TweetBot在未經用戶許可的情況下使用UDID,并將UDID信息發送到push.tapbots.com,違反了App Store Review Guidelines中關于用戶隱私的第17.1節——“應用在沒有得到用戶的許可,以及告訴用戶哪里可以獲取怎樣使用以及在哪里使用用戶數據的信息之前,不能收集傳輸用戶數據”。經過這一事件,我們終于可以確認蘋果的確加強了對應用訪問UDID的審核力度,應用開發者應該盡早放棄使用UDID。
Paul在博客中還寫道:“我們在收到上述的拒絕信息2個小時后就修改并且重新上載給了Apple,現在就等待批準了。如果你是一個應用開發者,并且你的應用的一些功能依靠UDID, 現在該是放棄使用它的時候了,因為遲早Apple會抓到你的。”
Tweetbot之所以會調用UDID,是因為Tweetbot會通過UDID記錄用戶的推送設置,這樣當用戶重新安裝Tweetbot后,可以不用重新設置推送策略,由系統按照之前的用戶設置自動完成設置,這一點對于在多臺設備上使用Tweetbot的用戶來說,是非常方便的設定。現在這項功能將無法繼續提供。而蘋果在郵件中給出的理由則是“在收集并上傳用戶個人數據之前,應當明示用戶并取得用戶同意。”
打壓or陰謀?
Apple公司這次整治UDID應用的目的業內引起了眾說紛紜,包括打壓論、陰謀論等觀點也躍然紙上。但其中最直接的理由是自于國會對于Apple對于個人隱私保護的顧慮,蘋果最近也飽受隱私問題帶來的壓力。最近有用戶提起訴訟,指控蘋果在未獲用戶許可的情況下對外分享用戶瀏覽歷史、應用使用和其他個人細節信息。起訴書寫道:“蘋果的隱私政策不透明而且令人費解,但是有一件事情是明確的:它向開發者提供用戶的UDID,但卻沒有通知用戶。
由于UDID是永久有效并且唯一的標識, 雖然 UDID 本身不能用來識別用戶個人,但是由于UDID信息被大量的廣告網絡、游戲應用、分析平臺等系統所收集, 利用數據分析/關聯等技術在后端可以還原用戶的個人隱私信息,比如用戶的興趣和使用應用的方式等等。 目前,蘋果提供了應用內唯一身份標識符,作為替代UDID的解決方案。應用內唯一身份標識在每次安裝時會重新生成,以此來避免不同應用之間共用相同的身份信息的問題。
此次事件受影響最大的群體為是廣告網絡以及數據平臺。缺乏用戶唯一標識,平臺無法追蹤到應用內廣告以及推廣的效果,比如:用戶從特定渠道下載應用到安裝的轉化率。由于Apple并不像Google的Play Store提供安裝行為的跟蹤機制,開發者和廣告網絡可以利用這個機制識別每次安裝的來源以及確認廣告花費,對于目前市場上流行的推廣墻以及換量方式的廣告會有很大影響。
就近幾日各家移動應用開發者對App Store的觀察,我們發現目前仍有部分在應用內調用UDID的應用可以通過審核并成功上架。據此推測,現階段的蘋果很可能正在使用黑白名單機制對審核階段的應用做篩選,以避免App Store出現大面積應用下架,尤其是避免那些擁有巨大用戶量的著名應用受到影響。但正如Paul Haddad所說——盡早放棄使用UDID——黑白名單恐怕只是權宜之計。
目前,廣大開發者都在積極尋找能夠有效替代UDID的手段,比較常用的方案主要分為以下幾類:
MAC Address
這是目前最常用的方案:設備的Mac地址Hash后上傳, 原理為利用 unix底層的一些系統調用獲取。但是使用MAC地址與使用UUID沒有本質區別,還是違背了保護用戶隱私的初衷,可以預見Apple在不遠的將來會對類似的方式加以限制。
Html5+Cookie
這種方式的實現方法主要是利用瀏覽器的第三方Cookie,生成唯一的標識并且可以跨應用訪問。但這一方式的問題是需要應用在啟動時打開Safari瀏覽器,這一動作將導致應用和瀏覽器之間的一次切換,整體用戶體驗比較差。據稱,在使用Html5技術優化后,該技術可以將應用與Safari之間切換造成的瞬間閃屏時間縮短到幾百毫秒。
OpenSource方式
目前有一些開發者提供第三方的開源UDID標識,作為廠商的自救方式。常見的主要有Crashlytics的SecureUDID、AppsFire的OpenUDID,以及Kontagent的MATA方式等。此類技術的原理是利用自定義剪切板可以跨應用訪問的特性,生成獨立ID保存在系統剪切板內,用于跨應用用戶追蹤。不過,由于仍然生成唯一設備標識,和防止隱私泄露的初衷沖突,究竟是否會受Apple官方認可,仍需要繼續觀察。
數據指紋技術
該技術聲稱不需要依賴UDID,而是通過收集很多小數據段作為設備特征,而這些數據段不具用戶隱私特征。如:國外的廣告監控公司Hasoffers以及國內統計分析平臺Talking Data聲稱擁有這種技術。其主要原理為:收集眾多特征字段,如:瀏覽器設置、時區、以及硬件等一些基本信息,使用基于機器學習算法計算各字段屬于同一臺設備的概率,據稱其精度可達90%左右。
【編輯推薦】
