热门的新相机应用程序是否隐藏了什么？这是本周冒出来的问题，因为一款名为“美图”的中国图片编辑应用程序开始受到美国用户的欢迎。这是一个自然的打击，交易在薄纱过滤器作为可识别的，因为他们是共享的。不过，尽管这款应用程序的吸引力来自于天真，但它并不适合所有人，尤其是当他们开始分析代码本身时。美图充满了不寻常的代码，有可能将敏感信息暴露给中国陌生的第三方服务器。有趣的过滤器是伪装的身份盗窃服务吗？

这些担忧可以归结为一些特定的活动，这些活动是在大量借用和重叠的代码中发现的。该应用程序试图为一部**提取一些标识符，包括IMEI和MAC地址，尽管应用程序本身没有显示广告，但它与一些可用于广告定位的第三方分析系统相关联。更为不祥的是，该应用程序要求提供非常具体的位置数据，如果授予了正确的权限，则尝试提取GPS坐标，如果没有权限，则从照片的EXIF数据中提取。由于美图的母公司是中国人，所有成功收集到的数据都会被送到中国的服务器上。放在一个地方，足以让任何人在安装应用程序时三思而后行。

不过，尽管有些代码令人担忧，但美图的数据收集并不像看上去那么具有侵入性或不同寻常。首先，许多身份信息在iOS上被预先屏蔽，正如安全研究人员Will Strafach的一份报告所详述的那样。这其中包括一些最令人瞠目结舌的收集工作，包括IMEI号码和MAC地址。这些IMEI号码仍在Android版本中收集，这是合理的坏消息，因为它们可能被用来欺骗**和劫持账户。但这也不像看上去那么不寻常，尤其是在中国的应用程序中，它们经常使用IMEI和其他标识符作为更大的反垃圾邮件系统的一部分。

在一段代码上也有类似的反复，这段代码似乎允许应用程序从私有框架运行代码，这一做法目前由于安全原因被应用程序商店禁止。但正如Strafach所发现的，底层代码是从Facebook开发者工具包中提取出来的一套更大的iOS工具的一部分，没有迹象表明隐藏框架正在被应用程序更广泛地使用。

更令人震惊的事实是，尽管这些做**给用户带来严重的隐私威胁，但其中有许多做法是如此普遍。在智能过滤器和地理标签的时代，像Instagram或Snapchat这样的应用想知道用户在哪里一点都不稀奇。Meitu更具攻击性，从图片的元数据中提取这些信息，但只是程度不同。美图通过与中国六家不同的第三方网络共享身份数据而扬起了旗帜，但这只比你在许多小程序上找到的跟踪系统差了几度，更不用说开放的网络了。考虑到与分析系统的密切联系，美图收集的大量数据很可能最终被用于针对广告——但无论好坏，大多数互联网都是这样运作的。或许更糟糕的是，这家公司是中国人，没有谷歌的声誉。但更糟的是？

最终的结果是有点复杂。美图的问题是真实存在的，但它们并不是恶作剧阴谋欺骗**和窃取身份的证据。关注它们是合理的，值得观察的是，在这样的情况下，iOS的反IMEI收集系统有多大的价值。但如果你对美图的广告追踪工作感到震惊，你应该意识到它不是一个异类。看看你**上的其他应用程序：很有可能其中至少有一个应用程序也在玩同样的把戏，而吸引的关注却少得多。