追踪用户被苹果警告，Uber：我们是在保护用户！

据纽约时报报道，针对苹果CEO库克要求Uber停止通过iPhone追踪用户，Uber给出最新回应称追踪是行业里公认的防止诈骗和账户被盗的方式，并且强调他们所采用的侦测方式，其实就与一般用于在登入时保护使用者帐号的封锁机制相似，认为能够辨识出恶意用户对 Uber 或是用户而言都是一个相当重要的措施。

去年年底Uber就被曝出其App应用在进入后台运行的情况下可以继续追踪用户的位置信息。之后又有外媒曝出Uber通过fingerprinting（指纹）来追踪用户，并宣称即使用户已经将Uber应用从手机里卸载删除，追踪行为仍旧可以继续。

零镜网相关新闻链接：Uber这样的做法遭其库克威胁也是情理之中！

Uber被抓小辫子，库克亲自发出警告

据外媒报道，Uber开始在iPhone上面使用fingerprinting是为了在包括中国在内的地区加强预防诈骗。在因为司机可以通过在被盗的iPhone上注册多个账户，然后通过这些账户在Uber上叫车，以此冲高叫车业务量来获得Uber提供的奖励和补贴。

而苹果之前是允许开发者追踪用户的，但是必须通过独特的设备识别符（Unique Device Identifier，简称UDID），这种追踪方式是通过下载安装App来实现的，并且可能长期保持。但是随着苹果越来越重视用户的隐私，苹果从2013年开始强力反对UDID，并且开始将UDID替换成其他侵入性较小的追踪方式，包括供应商ID（vendor ID）和广告ID（advertising ID）。

根据纽约时报的报道，苹果在两年前就曾发现 Uber 通过应用程序来秘密追踪 iPhone 用户，即便在删除了应用程序之后还能够持续追踪，甚至刻意通过定位信息规避苹果总部人员的审查。苹果CEO库克因此还特意要求与Uber的首席执行官Travis Kalanick会面，直接警告称会将Uber从苹果的App Store中下架。

Uber当然无法冒险失去数量庞大的iPhone用户，所以关闭了相关的应用程序，但是Uber仍旧选择其他更隐蔽的方式来追踪用户。Uber给出的理由是希望由此避免恶意用户在盗取的手机上通过Uber软件用偷来的信用卡进行高额消费，并且不断地重设手机来再度运用。

专业人士解析Uber的追踪手段

针对Uber是如何追踪用户的设备的，来自Sudo Security Group的总裁Will Strafach向外媒详细解析了Uber在2014年底更新的App的追踪方式。

Uber强力装载了一个名为IOKit.framework的私人框架，从中加载了一些字符记号（symbols）通过设备注册进行重复运行（iterate），同时Uber利用已有的代码（code）从注册过程中获得不少用户信息。其中最有用的就是注册设备的系列编号（Serial Number），因为这就是长久可用的识别码。

Strafach认为在iOS 9和更高版本的系统中，这些框架和代码已经被iOS sandbox所屏蔽。Strafach表示需要明确的是：“其实最初担心的‘卸载后在追踪’的说法并不准确。至少这个例子说明追踪是在卸载和再安装之间进行的。但这也违反了苹果的相关规定，苹果也禁止了这些追踪手段（这就是为什么苹果溢出了能够获取UDID的API应用接口程序的原因）。”

为了不让苹果的工程师发现Uber的fingerprinting，传言Uber是通过对苹果总部进行了geofence来隐藏追踪过程中使用的代码。

Geofence功能是：当用户把他们的电脑设备带到一个特定的地理区域后，一些应用程序可以根据之前的设定而进行自我启动。也就是是说当苹果总部进行程序审查的时候，Uber的隐藏程序将会按照预先设定来自动运行。

不过这些小把戏最后还是被苹果的工程师识破，于是就有了库克警告Kalanick的场景。

Uber：我们是在保护用户！

虽然遭到了苹果的警告，但是Uber向外媒证实为了检测诈骗，Buer目前仍旧在使用一种设备指纹（device fingerprinting）程序。Uber的发言人介绍说，如果一台设备曾经被检测到有过诈骗记录的话，当这台设备再次申请注册的时候就会有警告提醒。Uber暗示这种fingerprinting模式是为了能够符合苹果的规定。

“如果用户已经卸载删除了的Uber的App，我们当然不会追踪用户个人或者他们的位置。就如纽约时报报道的结尾所说的一样，这是一种典型的预防诈骗的方式，阻止诈骗犯在盗取的手机上加载Uber软件、阻止诈骗犯绑定偷来的信用卡账户、阻止诈骗犯在进行高额打出业务之后不断重置手机继续诈骗。类似的技术也被应用来检测和屏蔽可疑账户的登陆，以此来保护用户的账户安全。”