适用于iOS的“ Meitu”应用程序中有关Analytics Collection的技术信息

今天有一些骚动涉及到名为Meitu的移动应用程序。这篇文章仅关注iOS版本（如果有兴趣，其他人已经初步了解了Android版本）。

评估内容（v6.1.1）

“ 美图秀秀 ”（com.meitu.mtxx）
“ MTXXFilterExtension”（ com.meitu.mtxx.MTXXFilterExtension ）
“ MTMosaicMessage ”（com.meitu.mtxx.MTMosaicMessage）

收集的分析信息

设备IMEI，IMSI和MAC地址似乎没有发送到Meitu的第一方或任何打包的第三方分析服务器。无法在更新为最新固件版本的iOS设备上获取与无线电有关的敏感信息。在初步测试过程中，Meitu应用程序确实向服务器发送了伪造的MAC地址“ 02：00：00：00：00：00”。乔纳森·兹齐亚斯基（Jonathan Zdziarski）提到了Meitu应用程序对MAC地址的使用，因为二进制代码仍包含用于获取设备MAC地址的功能。但是，如上所述，App Store沙箱中的iOS应用程序无法访问设备的真实MAC地址（与IMEI和IMSI一样）。对于iOS 8或更高版本的设备，此功能没有风险。
以下信息似乎确实已发送到Meitu分析服务器（adui.tg.meitu.com）：iOS版本（例如“ 10.2”），设备型号（例如“ iPhone7,2”），网络类型（例如“ WiFi”），设备语言，设备区域设置，移动国家/地区代码以及随机生成的唯一标识符。
正如乔纳森·兹齐亚斯基（Jonathan Zdziarski）指出的，由于使用了第三方分析库，Meitu应用程序确实获得了蜂窝提供商的名称。蜂窝提供商名称将发送到第三方分析提供商Umeng / Youmi（alogs.umeng.com）的服务器。
“ channel_id”也发送到adui.tg.meitu.com服务器。由于大量使用“辅助”或“辅助”工具在该地区旁加载应用程序，因此这在中国应用程序中很常见。直接从App Store下载应用程序后，将在此参数下发送值“ App Store”。
Meitu应用程序收集GPS位置（ 如果已授权 ），并将其发送到分析服务器。我无法高度确定发送GPS位置的分析服务器，但我有一定的信心，认为该分析服务器是第三方分析服务器，并未由Meitu本身直接调用（旁注：Meitu确实请求访问权限位置带有模糊信息“开启后美图秀秀才可访问你的地理位置哦”，但直接归因于美图本身的唯一用例是为用户检查当地天气。

专用API的使用

正如Jonathan Zdziarski所指出的那样，该应用程序包含从私有框架加载两个功能的代码。
但是， 此代码不能按原样工作 。这是因为该应用程序从路径“ /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/iPhoneOS7.0.sdk/System/Library/PrivateFrameworks/GraphicsServices.framework/ GraphicsServices”（此路径在iOS设备上不存在）。
Meitu应用程序中确实存在一些代码，可以允许在运行时动态加载私有框架。但是，没有迹象表明已使用它。该代码并非来自Meitu，由于已作为iOS Facebook SDK的一部分进行了编译，因此存在。

第三方代码

Meitu应用程序二进制文件已与以下第三方分析相关的库匹配内部的高可信度指纹：AppsFlyer，Crashlytics，Fabric，Umeng / Youmi。
Meitu应用程序二进制文件已与以下第三方社交网络库（Facebook，微信）的内部高可信度指纹匹配。微博

结论

这是在不到30分钟的时间内进行的一次非常简短的评估，由于目前公众关注度很高，因此可以向公众收集有关最新iOS版本的Meitu应用的准确技术信息的有用信息。此评估不应被认为是详尽无遗的，我鼓励其他人继续研究此应用程序的iOS和Android版本。

总体而言，此应用程序收集的信息似乎与大多数iOS应用程序（当前位于App Store中）收集的分析信息相当。