蘋果2024春季新政策,對第三方SDK重拳出擊
-
收藏
0
自從2021年iOS14.5推出IDFA新規后,無論蘋果是真的想保護消費者隱私,還是像很多“友商”評價的一樣:本質是為了增加自己的廣告服務收入,蘋果對隱私保護的政策正在變得越來越嚴格。
當時ATT框架幾乎給iOS手游和應用的推廣帶來毀滅性的打擊,彼時還叫Facebook的Meta也在當年遭遇了巨大的滑鐵盧,甚至在后續推出了包括ASC在內的一系列黑盒廣告產品,但無可否認的是無論是電商還是應用和游戲,由于eCPM的大幅下滑,整個蘋果的應用生態還是發生了翻天覆地的變化。
從隱私保護的角度來說,ATT框架無疑是成功的,大量用戶選擇拒絕被追蹤,但不可否認的是在整個ATT框架內依舊有一個相對明顯的漏洞——安裝在游戲和應用內的各種SDK。
事實上,這些第三方SDK在很大程度上減輕了開發者的負擔,但不可否認的是:無論是開發者還是用戶,都很難發現各種SDK中隱藏的隱私風險,或者說的更直白一點,繞過ATT框架收集用戶信息的可能性。
于是在2023年WWDC上,蘋果就宣布了新的SDK隱私清單和簽名,以便用戶更好的了解第三方SDK使用和收集數據的方式。
與此同時,Xcode會在開發者準備上架和分發App時,為開發提供一份該App中使用的所有的第三方SDK的隱私清單合并成一個簡單的報告。通過該報告讓開發者能夠全面的了解自己使用的所有第三方SDK,從而更輕松的創建準確的隱私標簽。
這么做的原因也很簡單,因為蘋果要求所有的開發者如果使用第三方SDK,那么他們就需要對App中SDK包含的所有代碼負責,并且清晰地了解SDK是如何收集和使用用戶數據的。從某種程度上來說,這就是將侵犯隱私和審查SDK的風險和責任轉嫁給了開發者,因此提供一些便利自然也在情理之中。
總的來看,這次2024春季隱私清單政策主要就是兩個關鍵:蘋果創建了一個第三方SDK隱私清單和簽名;以及開發者為什么要使用某個API流程。
01
隱私清單和SDK簽名到底是什么?
首先來看隱私清單,其實所謂的第三方隱私清單(privacy manifest),本質上就是讓SDK開發人員提供他們SDK是如何收集數據的,這樣就能夠讓App開發者在集成各種SDK的時候,就能迅速得到一份詳細的相關報告,從而避免額外手機不必要的用戶數據。
更進一步來說,如果開發者在App內集成了不止一個SDK,上文中所說的Xcode也能夠簡單的將第三方SDK中的多個隱私清單合并,最終導出一個報告匯總,從而讓開發者能夠清晰且全面的了解自己所使用的全部SDK是如何收集并應用這些數據的。
由此,開發者就能在提交App Store審核時,能夠更好且更清晰的在后臺提供自己App的隱私標簽,在App Store的后臺明確自己App的數據收集和使用場景,從而讓用戶能夠在詳情頁就清楚的指導該App收集了哪些數據,并且將會把這些數據用在什么地方。
除此之外,蘋果還要求SDK的開發者提供SDK簽名。具體來看,有了SDK簽名,當應用這作者在自己的應用中采用一個第三方應用新版本的時候,Xcode會對其是否由同一個開發者簽名進行驗證,提升軟件供應鏈的完整性。說的簡單直白一點,就是蘋果希望通過簽名認證的方式,來確保SDK不會在開發的過程中被篡改。
經過簽名認證后的 SDK ,在 Xcode15 會顯示對應的 Signature 信息,如果一旦發現本次前面和上次不一致,那么Xcode 就會讓編譯失敗并彈出警告。雖然目前來看,蘋果并沒有要求所有的SDK強制使用簽名,但如果這一SDK涉及到隱私手機,尤其是出現在下面列表中的這些SDK,則一定要添加相關簽名。
需要隱私清單和簽名的SDK:蘋果還專門列出了一個在App Store常用的SDK清單,并且表示,“自2024年春季開始,當您在App Store Connect中提交包含這些SDK的新應用程序時,或者當您提交的更新包含這些SDK的時候,必須包含下面列出的任何SDK的隱私清單。在將列出的SDK用作二進制依賴項的情況下,也需要簽名。所列SDK的任何版本,以及對列表中的SDK進行重新打包的任何SDK,都包含在規定中。”
具體SDK列表截圖如下:
02
給API一個必要理由
除了隱私清單之外,本次新政策最為關鍵的則是所謂的《必要理由API申明》。
簡單來說,就是蘋果只做了一個新的API分類,開發者則需要使用這個分類在隱私清單里面說明為什么需要調用該API接口。從目前的情況來看,蘋果可能是期望通過此舉來規范App使用這些API做各種Fingerprinting識別行為。
相關的API總計有5個:
File timestamp APIs
System boot time APIs
Disk space APIs
Active keyboard APIs
User defaults APIs
也就是說,如果 SDK 和 App 里用到了分類里的這些 API ,那么開發者就需要在隱私列表里填寫為什么要使用這些API的原因。
總結一下,本次 iOS 隱私清單主要覆蓋的有:
SDK 提供隱私清單的數據收集類型、使用描述和用途
必要理由的 API 需要提供使用“代碼”和原因
ATT 跟蹤添加域名區分
第三方 SDK 簽名
而這一切,都會在2024年春季落地。
猜你喜歡
蘋果放棄造車:雷軍很震驚,李想稱絕對正確,馬斯克只發兩個表情
蘋果最新高管會議決議對外曝光,內部正式終止Project Titan泰坦項目,即秘密推進十年的造車計劃。蘋果2024春季新政策,對第三方SDK重拳出擊
自從2021年iOS14.5推出IDFA新規后,無論蘋果是真的想保護消費者隱私,還是像很多“友商”評價的一樣:本質是為了增加自己的廣告服務收入,蘋果對隱私保護的政策正在變得越來越嚴格。