美团这次是真惹众人怒了!
就在 10 月 8 日,美团因垄断市场经营,被市场监管总局依法处罚 34.42 亿元后的不久,博主 @轩宁轩 Sir 就曝光了美团 App 存在高强度获取用户位置信息。
随后,美团官方是这样回应的:是因为这类软件在单方面读取系统操作日志后,进行了选择性展示。
首先,果子我没有看到诚恳的说明与致歉。
而随后工程师的回应更让我气炸:原爆光视频中的软件(隐私洞见)是境外开发的,安全性不明,请谨慎下载!
在座的肯定有许多吃瓜群众,对技术可能不懂。并不知道的孰真孰假,无从判断。
别怕,现在就带大家从原理技术的角度,好好扒一扒它和美团,毕竟吃瓜也得吃全!
应用简介
首先,这项功能来自于 iOS 15 中 隐私 —— 记录 App 活动中。这是系统级工具,能记录到所有应用的行为。
但点击后,系统生成的是 JSON 日志文件。
原文件并不方便一般用户阅读和查看,打开后它长这样,不用担心,后面教大家如何阅读。
而这次事件涉及的 App —— 隐私洞见,就是一个可视化的阅读器,方便查看日志记录。
在初次下载打开后,应用并未申请使用任何网络权限。
在 App 根据提示,即可将系统日志导入到 App 中,这样就能在首页查看应用行为记录了。
但在未使用网络下,这些日志好像依旧看不懂?(划重点,后文的关键)
是否可信
通过上面的流程,大家应该大致 App 是干嘛的了吧,它可解析系统日志,并显示应用行为。
比如:在网络活动中找到了拼音疑似美团的网络请求。因此有人就担心:这个 App 是否准确,是否安全?
对于这两个问题,最有效方法那就是:直接看 iOS 系统原日志!
好像很难?果子来教你如何阅读:
以这一条日志为例:
这是单独的一条完整日志信息,其中关键项有这几个:domain、timestamp、bundleID。它们分别对应:域名、时间、包名。
因此,这就是出对应日志解析内容。其中,bundleID 至关重要,它代表:软件包唯一识别符。
每一个应用都有自己的专属唯一的标识符,因此,只要上架 App Store 的应用,它们的标识符就是唯一的。
这也类似于安卓 Apk 文件包名,比如安卓版美团是这样的。
而在图中拼音,我们也能轻松的看出这是确实是美团的日志(iOS 美团包名为:com.meituan.imeituan),并且通过域名还能看到大众点评的拼音。
因此这是一条美团 App 发送网络请求到大众点评的日志,并且还记录有对应的时间、次数等信息。
我们接着打开 App 对比一下,在对应页面确实发现了相关内容,域名、时间、次数等信息保持一致。
并且,果子我在多次查找后,发现结果和系统的均正确!
因此,这就印证了文章开头所说的:它只是一个可视化的日志阅读器!它所展示数据就是 iOS 系统本身的。
是否安全
那么它安全吗?这里果子替大家做出疑问。
众所周知,数据泄露最容易出现在网络数据交互中,那我们授权这款 App 网络权限看看。
联网后,你首先发现的是主页信息更明确了:App 图标、名称均显示可正常显示了!看来它确实进行了网络交互,获取了对应信息。
而在 App 设置页面,我们发现确实介绍中有提到联网,官方解释是:连接 iTunes API 获取 App 信息。
事实真是这样吗?我们不如做这样一个实验,既然日志能记录所有应用,那么我们不妨来看看这个 App 的行为记录?
安全检测
于是,在重新导出日志后,果子又开始寻找日志代码。
首先果子在 App Store 找到了隐私洞见的应用 ID 。
然后通过官方接口,获取到了隐私洞见的包名。
那么我们在日志记录中搜索一下!现在找到了这几行的日志,复制下来。
再稍微整理下日志代码后,我们一起解读一下。还记得怎么阅读日志吗?没学会的到上文再学学吧!
我们可看到隐私洞见 App 访问了这两个域名:
mzstatic.com
itunes.apple.com
其中 iTunes 大家都能理解,这可是苹果品牌旗下的。但另一个又是什么?难不成要打脸了,真有安全隐患?
经过果子查询,这个域名也是属于苹果的分布式域名服务器,App Store、iTunes 一些信息、图片请求均会用到它。
在知乎等网友发帖中也能找到对应的佐证,很是常见。
因此,目前通过 iOS 官方的隐私记录,只能找到隐私洞见 App 未出现泄露数据的情况。
这下你知道为什么在联网前,App 显示的信息很奇怪的原因吧?
并且果子在查询苹果开发者网站中,还了解到了,除了可查询到应用的网络访问,还能对存储、 图库、相机、麦克风、位置等信息进行记录。
同样的,我们在日志文件中也可找到对应的信息记录,依旧能找到美团频繁获取用户位置、相册信息的行为。
至此,通过上面的日志文件分析,美团频繁获取用户数据事件可石锤下结论了吧?
甚至当事人也站出来回应隐私洞见 App 是国产应用!
隐私洞见 App 仅为可视化的日志阅读器!你甚至不需要网络权限即可使用,而网络功能仅是连接 iTunes 获取应用名称和图片的。
至少,在 iOS 的隐私审查中,它没有收集任何数据信息,也不存在境外不明软件这一说法。
混淆视听,糊弄用户,栽赃开发者,美团,请正面回应!