V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
iOS 开发实用技术导航
NSHipster 中文版
http://nshipster.cn/
cocos2d 开源 2D 游戏引擎
http://www.cocos2d-iphone.org/
CocoaPods
http://cocoapods.org/
Google Analytics for Mobile 统计解决方案
http://code.google.com/mobile/analytics/
WWDC
https://developer.apple.com/wwdc/
Design Guides and Resources
https://developer.apple.com/design/
Transcripts of WWDC sessions
http://asciiwwdc.com
Cocoa with Love
http://cocoawithlove.com/
Cocoa Dev Central
http://cocoadevcentral.com/
NSHipster
http://nshipster.com/
Style Guides
Google Objective-C Style Guide
NYTimes Objective-C Style Guide
Useful Tools and Services
Charles Web Debugging Proxy
Smore
junho
V2EX  ›  iDev

应用上架审核被认为追踪用户行为导致被拒,这块怎么破?

  •  
  •   junho · 2021-04-06 09:23:10 +08:00 · 6130 次点击
    这是一个创建于 1319 天前的主题,其中的信息可能已经有所发展或是发生改变。

    应用本身已经上架了好几年,最近更新版本是被拒绝了,原因是苹果因为 APP 手机收集设备信息生成唯一 id 追踪用户。

    “We found in our review that your app collects user and device information to create a unique identifier for the user's device. Apps that fingerprint the user's device in this way are in violation of the Apple Developer Program License Agreement and are not appropriate for the App Store.

    Specifically, your app uses algorithmically converted device and usage data to create a unique identifier in order to track the user. The device information collected by your app may include some of the following: sysctl, serviceSubscriberCellularProviders, NSFileSystemSize, isoCountryCode, and NSProcessInfo.”

    关于设备唯一 id,app 本身用了 CFUUIDCreate 来创建唯一 ID 存在 keychain 里(原因是业务要求同一个账号只能在限定设备数量登录,多了就要用手机验证),然后用到的不少第三方库也是有用到这个函数。 然后上面提及的函数,也是有不少 SDK 使用了(例如极光一键登录、阿里推送、百度统计啥的)。 所以先回复了苹果这些函数都是基于合理的需求使用而非生成设备唯一 id,然后收到回复

    “We continue to find that your app collects user and device information to create a unique identifier for the user's device. Your app may be using some of the following API to create a unique identifier for the user's device: XX_FINGERPRINTING_METHODS_XX.”

    根据提示,根据 FINGERPRINTING 关键词搜了所有 SDK 都没发现类似的。这时候就很尴尬了,不清楚苹果判断的标准是啥,也不知道哪些 SDK (闭源的)是有问题的。

    有无相关经验的 V2 可以分享下如何处理?

    PS:我遇到的情况跟这篇文章基本一致 https://www.ithome.com/0/543/769.htm

    第 1 条附言  ·  2021-04-06 10:26:12 +08:00
    主要问题是苹果认为我使用了以下函数来获取设备信息然后生成追踪用户行为的唯一 ID:
    sysctl, serviceSubscriberCellularProviders, NSFileSystemSize, isoCountryCode, and NSProcessInfo
    第 2 条附言  ·  2021-04-06 10:43:35 +08:00
    列举下用到的 SDK:
    阿里推送、极光登录、百度统计、Bugly 、腾讯云播放器、UniApp
    第 3 条附言  ·  2021-04-06 11:00:20 +08:00
    估计是下面这个原因导致了:

    V5.3.1( 更新时间:2021-01-26 )

    新增百度 CAID 采集
    第 4 条附言  ·  2021-04-08 10:52:14 +08:00
    更新一下:
    移除了百度统计后就顺利过审了
    18 条回复    2021-04-06 12:33:44 +08:00
    CoCoMcRee
        1
    CoCoMcRee  
       2021-04-06 09:55:21 +08:00
    把第三方 SDK 更新一下
    然后 设备唯一表示用这个库
    pod 'FCUUID'
    typetraits
        2
    typetraits  
       2021-04-06 10:17:11 +08:00
    所以为什么不写明 app 会追踪用户呢
    hstdt
        3
    hstdt  
       2021-04-06 10:24:06 +08:00 via iPhone
    CFUUID 和隐私没关系,感觉你找错方向了
    kera0a
        4
    kera0a  
       2021-04-06 10:24:28 +08:00 via iPhone
    我也用了,这玩意应该不能追踪吧?这也过不了审?
    icyalala
        5
    icyalala  
       2021-04-06 10:24:53 +08:00 via iPhone
    就是某个第三方 SDK 被苹果标记了,但是苹果不会明说,不然 SDK 就会针对性修改。
    zsyld
        6
    zsyld  
       2021-04-06 10:27:49 +08:00
    感觉仅仅用了 CFUUIDCreate 是没问题的,
    问题是你同时收集了‘sysctl, serviceSubscriberCellularProviders, NSFileSystemSize, isoCountryCode, and NSProcessInfo’
    很像前几天的热搜百度 头条之类的搞的什么 CAID ??
    junho
        7
    junho  
    OP
       2021-04-06 10:28:09 +08:00
    @icyalala 我觉得是,但是就是不知道是哪个用到的 SDK 搞这幺蛾子。。。苹果也没明说,反正就是让我移除跟踪代码后才能提交审核
    Dashit
        8
    Dashit  
       2021-04-06 10:28:54 +08:00
    发个 ipa 出来看一看。
    junho
        9
    junho  
    OP
       2021-04-06 10:30:12 +08:00
    @zsyld 多谢提醒,我搜了下所有 SDK 的符号表,发现都有百度统计这个 SDK 都有使用到苹果提到的函数,联想到百度的尿性,emmmm
    IssacTseng
        10
    IssacTseng  
       2021-04-06 10:31:21 +08:00
    获取 IDFA 要获得用户的许可,不获取许可直接拿会被拒。
    mirari
        11
    mirari  
       2021-04-06 10:36:48 +08:00
    楼主有没有接入百青藤、优量汇之类的广告 SDK ?
    loginbygoogle
        12
    loginbygoogle  
       2021-04-06 10:40:04 +08:00
    各种推送各种联盟都是垃圾
    liaoyaoheng
        13
    liaoyaoheng  
       2021-04-06 10:41:59 +08:00   ❤️ 1
    说你有问题就整改呗。
    murmur
        14
    murmur  
       2021-04-06 10:43:07 +08:00
    百度统计那真的是隐私收集,没毛病
    Jirajine
        15
    Jirajine  
       2021-04-06 10:43:14 +08:00 via Android
    不如干脆直接拉黑 SDK,直接告诉你你的程序中含有恶意代码,恶意代码为 xxx sdk 。
    cairnechen
        16
    cairnechen  
       2021-04-06 11:30:33 +08:00
    我没太懂,我感觉你列举的这些 sdk 都用了生产唯一 id 的方法,为啥只有百度统计被揪出来了
    junho
        17
    junho  
    OP
       2021-04-06 11:37:06 +08:00
    @cairnechen 苹果没有指明是哪个 SDK 有问题,我觉得百度统计有问题是因为它明确使用了 CAID (这也是最近苹果和国内某些大厂闹矛盾的原因)
    littiefish
        18
    littiefish  
       2021-04-06 12:33:44 +08:00 via iPhone   ❤️ 2
    @junho 没有指明就会自我阉割,对用户来说是好事
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2764 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 12:10 · PVG 20:10 · LAX 04:10 · JFK 07:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.