未分類
18 4 月 2021

应用上架审核被认为追踪用户行为导致被拒,这块怎么破?

应用上架审核被认为追踪用户行为导致被拒,这块怎么破?

資深大佬 : junho 5

应用本身已经上架了好几年,最近更新版本是被拒绝了,原因是苹果因为 APP 手机收集设备信息生成唯一 id 追踪用户。

“We found in our review that your app collects user and device information to create a unique identifier for the user’s device. Apps that fingerprint the user’s device in this way are in violation of the Apple Developer Program License Agreement and are not appropriate for the App Store.

Specifically, your app uses algorithmically converted device and usage data to create a unique identifier in order to track the user. The device information collected by your app may include some of the following: sysctl, serviceSubscriberCellularProviders, NSFileSystemSize, isoCountryCode, and NSProcessInfo.”

关于设备唯一 id,app 本身用了 CFUUIDCreate 来创建唯一 ID 存在 keychain 里(原因是业务要求同一个账号只能在限定设备数量登录,多了就要用手机验证),然后用到的不少第三方库也是有用到这个函数。 然后上面提及的函数,也是有不少 SDK 使用了(例如极光一键登录、阿里推送、百度统计啥的)。 所以先回复了苹果这些函数都是基于合理的需求使用而非生成设备唯一 id,然后收到回复

“We continue to find that your app collects user and device information to create a unique identifier for the user’s device. Your app may be using some of the following API to create a unique identifier for the user’s device: XX_FINGERPRINTING_METHODS_XX.”

根据提示,根据 FINGERPRINTING 关键词搜了所有 SDK 都没发现类似的。这时候就很尴尬了,不清楚苹果判断的标准是啥,也不知道哪些 SDK (闭源的)是有问题的。

有无相关经验的 V2 可以分享下如何处理?

PS:我遇到的情况跟这篇文章基本一致 https://www.ithome.com/0/543/769.htm

大佬有話說 (18)

  • 資深大佬 : CoCoMcRee

    把第三方 SDK 更新一下
    然后 设备唯一表示用这个库
    pod ‘FCUUID’

  • 資深大佬 : typetraits

    所以为什么不写明 app 会追踪用户呢

  • 資深大佬 : hstdt

    CFUUID 和隐私没关系,感觉你找错方向了

  • 資深大佬 : kera0a

    我也用了,这玩意应该不能追踪吧?这也过不了审?

  • 資深大佬 : icyalala

    就是某个第三方 SDK 被苹果标记了,但是苹果不会明说,不然 SDK 就会针对性修改。

  • 資深大佬 : zsyld

    感觉仅仅用了 CFUUIDCreate 是没问题的,
    问题是你同时收集了‘sysctl, serviceSubscriberCellularProviders, NSFileSystemSize, isoCountryCode, and NSProcessInfo’
    很像前几天的热搜百度 头条之类的搞的什么 CAID ??

  • 資深大佬 : junho

    @icyalala 我觉得是,但是就是不知道是哪个用到的 SDK 搞这幺蛾子。。。苹果也没明说,反正就是让我移除跟踪代码后才能提交审核

  • 資深大佬 : Dashit

    发个 ipa 出来看一看。

  • 資深大佬 : junho

    @zsyld 多谢提醒,我搜了下所有 SDK 的符号表,发现都有百度统计这个 SDK 都有使用到苹果提到的函数,联想到百度的尿性,emmmm

  • 資深大佬 : IssacTseng

    获取 IDFA 要获得用户的许可,不获取许可直接拿会被拒。

  • 資深大佬 : mirari

    主有没有接入百青藤、优量汇之类的广告 SDK ?

  • 資深大佬 : loginbygoogle

    各种推送各种联盟都是垃圾

  • 資深大佬 : liaoyaoheng

    说你有问题就整改呗。

  • 資深大佬 : murmur

    百度统计那真的是隐私收集,没毛病

  • 資深大佬 : Jirajine

    不如干脆直接拉黑 SDK,直接告诉你你的程序中含有恶意代码,恶意代码为 xxx sdk 。

  • 資深大佬 : cairnechen

    我没太懂,我感觉你列举的这些 sdk 都用了生产唯一 id 的方法,为啥只有百度统计被揪出来了

  • 資深大佬 : junho

    @cairnechen 苹果没有指明是哪个 SDK 有问题,我觉得百度统计有问题是因为它明确使用了 CAID (这也是最近苹果和国内某些大厂闹矛盾的原因)

  • 資深大佬 : littiefish

    @junho 没有指明就会自我阉割,对用户来说是好事