被 Google Play 下架刷爆朋友圈:聊聊 SDK 采集数据的秘密

标签: google play 朋友 | 发表时间:2016-05-27 19:33 | 作者: 黑板报值日生
出处:http://www.geekpark.net/
作者: 黑板报值日生

编者注:本文作者为「友盟+」高级产品研发专家马巍源,极客公园有删改并获得转载授权。


这两天,朋友圈里都在转载有 App 被 Google Play 下架一事,也许因为本人朋友圈内从事移动互联网数据行业以及各企业开发者较多,此事被炒得沸沸扬扬。其实可以看出大家一直在讨论的仍是移动互联网圈的一个老话题:用户数据隐私与 SDK 收集用户数据的安全性。

其实用户数据隐私以及 SDK 收集用户数据这两方面,两大应用商店官方并没有明确公示,哪些数据属于隐私数据,SDK 收集用户什么数据才合理。大多数都是我们通过多年服务于众多开发者,协助开发者让应用更快上线的经验积累而作出的判断,那么今天我们想聊一聊第三方 SDK 中都有哪些「私货」,也当是做个知识普及,让开发者和用户都清楚了解行业的红线在哪里、自身的隐私如何保护。

首先简单提下引发业内再次对隐私数据关注的起因。25 日,一位开发者收到 Google Play 邮件,称已将其开发并上线的 App 进行了下架处理,原因是其使用的一家第三方广告监测 SDK 在未经用户允许的情况下收集用户隐私数据,获取用户设备中全部已经安装应用列表。再多详细内容有想了解的可自行搜索,不是本文重点。

目前市场上SDK采集的方式

44404dac427c151e40b6ee88b789ef30.jpg

目前移动互联网行业内 SDK 采集数据的方式有两种:

一是开发者主动获取,通过 Android 或 iOS 提供的系统接口来获得,并且需要声明访问权限,比如:imei的获取,需要声明「android.permission.READ_PHONE_STATE」允许获得移动设备状态信息,然后通过调用系统接口实现。

二是开发者主动上传数据,通过 SDK 提供 API 接口,调用接口通过传递参数的形式上传用户数据。开发者需要在代码中适当的位置主动调用这些接口来上传数据。通常开发者主动上传的数据主要是用户行为数据,为了统计和分析用户在 App 中的操作习惯,方便开发者做精细化运营。

SDK 会采集哪些与服务无关的数据,目的是什么?

3047e958b40c46adace6b52fc94a31c6.png

1. 采集用户蓝牙信息(名称、状态、扫描模式等),采集已经成功配对的蓝牙设备信息。蓝牙信息采集目的是为了做设备识别使用,而采集成功配对的蓝牙设备信息则是为了获得与移动设备通过蓝牙通信的另一移动设备信息。单独的蓝牙信息采集由于重名现象较多,不会对用户产生很大的隐私影响。而后者采集配对信息则完全侵犯了用户隐私,同时也泄露了另一移动设备的相关信息。

安全危险级别:中。

2. 采集用户传感器信息。常见的用户设备传感器有:加速度传感器、环境光传感器、距离传感器、磁力计传感器、平衡传感器、震动传感器等。SDK 采集这类用户信息在我看来大多是为了充实数据库数据量,当然通过这类信息也可以判断移动设备是否为真实移动设备,但极少有使用。这类数据的采集对于用户隐私安全的侵害影响不大。

安全危险级别:低。

3. 采集用户移动设备上已经安装的应用信息、安装列表。这个一定要好好谈一下,这类用户信息的采集可以说比较无底线。通过采集这类信息可以清楚了解用户设备中各类APP应用的信息,若数据量庞大,即可推算出每款 App 应用的市场占有率情况、各类竞品 App 的情况。对于众多互联网行业而言,这种信息的采集无疑是触及了道德底线。

同时也可以通过 App 应用列表信息看到设备用户的喜好,侵犯用户隐私。例如一个设备用户安装了某类同性交友 App,那就意味着这种极其隐私的信息将被泄露,造成对用户的隐私侵害。

安全危险级别极高。

4. 采集移动设备正在运行或最近运行的程序任务信息。通过采集这类信息可以清楚了解设备中其他应用的日启动次数、日启动时长等,与采集用户移动设备上安装应用信息一样都属于侵犯用户隐私、触及互联网行业底线一类。

安全危险级别:高。

5. 采集用户移动设备账户信息,如 Google 账户。这类数据的采集可以获取用户账户列表,将移动设备信息与用户账号关联,对设备进行唯一标识。采集如此数据带来的风险也显而易见,若用户账号被泄露、被克隆,那对于用户产生的损失可能是利益上的、更甚是生命上的。所以此类数据的采集对用户隐私侵害极大.

安全危险级别:极高。

以上给大家列出了目前移动互联网行业 SDK 「私货」乱象的几类,如果 App 不想被第三方 SDK 「私货」影响,目前可以解决的方法有两种:一是要求第三方修改 SDK,二是换一家干净的。

应用商店的隐私政策

4318876_563_thumb.jpg

在 Google Play 和 App Store 上,凡涉及个人信息及敏感信息的,都必须依据提供隐私权政策、任何形式的应用内披露声明,以及完整说明您的应用会收集、如何使用、分享和处理用户数据。但一般来说,这两大应用市场对于在用户不知情的情况下采集获取用户的「账户信息」、「传感器信息」、「蓝牙信息」、「NFC 信息」、「进程扫描信息」以及「应用安装信息」等是严格禁止的。

一旦发现 App 中有这样的行为存在,下架处理是必然的结果,更有甚之会封停开发者账号。所以开发者要充分重视对用户的告知义务,包括将第三方 SDK 的数据采集信息,也应列入 App 的用户隐私政策条款中。这一点不用担心有什么副作用,只要合理合法地披露,无论是应用商店,还是现行国家法律都会支持的。

经验之谈,希望各开发者能够看清移动互联网中的是与非、利与弊,共同维护和建立健康的互联网环境。

相关 [google play 朋友] 推荐:

被 Google Play 下架刷爆朋友圈:聊聊 SDK 采集数据的秘密

- - 极客公园-GeekPark
作者: 黑板报值日生 编者注:本文作者为「友盟+」高级产品研发专家马巍源,极客公园有删改并获得转载授权. 这两天,朋友圈里都在转载有 App 被 Google Play 下架一事,也许因为本人朋友圈内从事移动互联网数据行业以及各企业开发者较多,此事被炒得沸沸扬扬. 其实可以看出大家一直在讨论的仍是移动互联网圈的一个老话题:用户数据隐私与 SDK 收集用户数据的安全性.

Google的强大武器:Google Play Services

- - Solidot
如果你密切注意,你可能会注意到设备上的Google Play Services频繁更新. 如果你紧跟 Android的技术发展,你会知道Google几年前宣布了一种以不需要固件更新的方法引入新的API和特性:Google Play Services在Android上扮演着越来越重要的角色,成为搜索巨人对抗碎片化和fork的强大武器.

再见 Android Market,你好 Google Play!

- - Engadget 中国版
分类: 智能手机, 互联网络. Android Market 经过这么一段时间的演化,已经从原本简单的 Android apps 卖场,变成了从书到音乐到电影无所不包的大集市. 为了彰显这个转变 -- 和把重心放在内容上 -- Google 正式启动了名为「Play」的新平台. 这为旗下的各种内容提供了一个方便的品牌,例如 Books、Music 和 Videos 等 app 便更名成了「Play Books」、「Play Music」和「Play Movies」,而原本的 Android Market 则变成了「Play Store」.

怎么在Google Play里赚钱,听听Google的建议

- - PingWest
“Making Money on Google Play”是Google I/O上的又一个热门演讲. Google 先给了一些数据:. 相比去年Google I/O的时候,Google Play里的“in-app purchase(程序内购买)”增长了7倍;. 从Google Play发布后,平均每个季度用户购买量增长2倍;.

Google 将原生 Android 的键盘放上 Google Play!

- - Engadget 中国版
似乎 SwiftKey 和 Swype 这类支持指头滑动输入键盘的市场会被抢去不少了 -- Google 刚刚将原生的 Android 键盘放上 Google Play 供下载,就名为 Google Keyboard. 所谓的原生 Android 键盘就是大家在 Nexus 装置上见到那款(上图所示),它支持 Android 4.0 或以上的装置,Gesture Typing、自动更正、字词建议、语音输入这些功能通通都包括在内.

Android开发者如何与Google Play共同成长?

- - CocoaChina移动观察
与Google Play 共同成长. 最近,苹果逐步淘汰UDID的计划在应用营销的社区里引起了一阵恐慌,UDID曾为应用的广告活动提供了标准化并得到广泛支持的方法. 不幸的是,如今市面上还没出现一个能够替代UDID的解决方案,但iOS市场貌似已经开始分裂了,各种各样的技术都在争相吸引开发者的注意力,这让开发者们更加难以分配自己所拥有的资源.

让游戏在Google Play排最前的10个免费策略

- - 雷锋网
作为独立开发商,要想应用或游戏在Google Play靠前,恐怕是一件非常艰难的事情,也许成千上万的美元换不来一丝变化,不过,如果你知道这10个排名靠前的秘密,就有可能不会一分一文,让你的排名一跃而上. 这是理解游戏价值的关键,一个排名高的游戏对你游戏收入的影响是非常巨大的,至少每日安装量为15000才能进前20,每日25000的安装量才有可能进入前10名.

《Dangerous》开发者谈Google Play的优越性

- - GamerBoom.com 游戏邦
自我们的游戏在各应用商店问世6个月以来,我们积累了众多宝贵经验,其他开发者也许会觉得这些非常有用. 有些内容属于常识,而有些则会令你感到惊讶. 值得一提的是,有许多关于Google Play(就是之前的Android Market)的认识误区. 虽然我们的经验算不上经典,但我希望这至少能够多少阐明不同应用商店的神秘运作方式.

移动应用获得Google play推荐五步法

- - CocoaChina移动观察
野心勃勃的开发者虽然有能力制作出一款高营收游戏,但缺乏app市场经验是个不争的事实,不少开发者为如何优化免费增值模式的Android游戏和提高游戏货币化而头疼不已. 一位开发者曾通过新闻发布会和facebook上的广告来推广自己的app,但结果令人失望. 这位开发者说:”facebook的桌面广告不能很好地展示广告,并且价格不菲,这使得我真不想去打扰他们”.

教你用电脑从 Google Play 下载 Android 程序 apk 文件

- - 小众软件 - Appinn
APK Downloader 是一款帮助你用电脑从 Google Play (原 Android Market ) 下载 Android 应用程序 apk 文件的 Chrome 扩展. Ivan 同学在 Group 讨论组 里推荐了一个用电脑从 Google Play 里下载 Android 程序的方法,可以直接下载到 apk 文件.