那些挂羊头卖狗肉的公司

大数据公司

很多大数据公司，其实就是违规的利用网络爬虫，爬取大量用户信息，再来贩卖，严重侵犯用户隐私。国家之前也在建立完善的制度整治，之前我微信过。但是你知道还有别公司利用其他途径获取用户信息吗？

App

pc网站，电脑病毒，远程控制，手机系统啥的获取用户信息咱就不说了，说说我们用户率超高的app。手机大家天天用，几乎达到了鱼儿离不开水，低头族离不开手机的状态，这么难舍难分还不是因为那些App。但一些App会收集用户信息相信大家早有所耳闻，不清楚可以看下《App个人信息泄露情况调查报告》。说说这就有点老生常谈了，今天我想说下一些app背后的三方。

privateCode + ThirdCode = App

privateCode指的是开发这款App开发者写的代码，ThirdCode指的是开发这款App开发者用到的别人的代码。现在市面上98%的App都是这样组成。
privateCod：一些app本身代码就是收集用户信息，这样app如果将信息用于正途还好说，不用于正途就是耍流氓，劝裸奔的你千万擦亮眼不要用了。至于没做好信息安全，泄漏用户信息的。估计公司就要开猿节流，滋猿奇说了。
好，远离了本身自带流氓气质代码的App，作为用户以为你就安全了吗，tooNative！！！。做为开发者你以为你用了信息加密，外加公司花了几十万买三方安全控件，确保app就安全了吗，更何况还有大把没有流氓气质代码也没做啥安全的app安全吗！tooNative！！
ThirdCode：自己代码安全了，代码混淆通信加密，还做了外部防砸壳，就安全吗（那些没做的，就是让用户在刀尖上跳舞，还是裸舞）。我们似乎忽略很重要一点，内部的ThirdCode。现在很多app会用到一些三方提供的SDK，你可以理解为封装好开箱即用的工具包。比如什么，即时通信，地图，语音识别，图像识别等等，还有一些用户没见过的，比如三方统计埋点（运营用的多，统计用户行为信息），崩溃收集（开发者用的多，统计app异常和卡顿等）等。这些就安全吗？

talk is cheap, show me the code
举个例子：我在研究app卡顿优化，自己写了个demo接入三方SDK，你猜我发现了什么？

来我解释下，这个Growing干啥的呢，对了，据说某公司花了一二十万买的这个三方SDK用来做统计埋点。统计埋点就是记录用户行为信息。统计埋点就统计埋点吗，你干啥统计我的输入框干啥，何况输入框我又没埋点。三方代码我看不了，我大胆猜测，你他妈不会想统计下我自己写的demo输入框输了啥吧。细思极恐（反编译应该能透视下他里面到底干了啥）。还好我们公司App花了几十万买的三方安全键盘控件，还好我们公司App没接Growing

再举个例子：我自己写个demo，接入三方，你猜我发现什么？

来我解释下，我写的demo我接入了SDK，就是能到这微信，微博什么那个。检测卡顿，发现了三方代码里有[UMLocation createLocationManager] ，这是啥呢，从部分英文可以猜测，这是定位。你说你一个三方，你搞定位干啥，你想干啥。别告诉我你就是随便写写代码，随便写了个带location定位的字段，其实不是定位是别的意思。你随便搞搞也就搞搞，还把我demo搞卡顿了你说气人不气人。然后一见卡顿，如见庐山真面目！
那这些三方sdk提供方，都是什么公司呢，不好说人微言轻吗。那他们搞这些干嘛呢，不好说“燕雀安知鸿鹄之志”。那说这些干嘛呢，我只是想告诉大家，世界很美好，有些App很好，开发者也很努力的做好，但是避免不了一些三方的勾心斗角，希望这些三方能有些良知，收集到的信息用于正途，确保不会泄漏。也提醒我尽量避免三方，将app的code掌握在自己手里，为用户的信息安全保驾护航。给用户提供更优质的用户体验。