你是否曾有过这样的经历:前一天在某个社交平台搜索了一双鞋,结果第二天在毫不相关的购物应用里就看到了它的推荐?这让你开始疑惑,是否自己的数据在不同应用间被共享,或者手机的麦克风正在“偷听”。然而,广告商其实有更隐蔽且安全的方式来实现跨应用推送,仅仅需要识别出你的设备即可。
当一台手机在应用A搜索了某件商品,这个偏好就会被记录下来。当同一台手机切换到应用B,它能被再次识别,从而继续推送相关的商品。这种识别是基于设备本身,而非你的个人身份。那么,广告商是如何收集这些信息并实现跨应用的?
最近,一个名为Loupe的安全应用引起了关注。它的主要功能是揭示手机App能够获取多少用户数据,以及授予的每一个权限会暴露哪些信息。使用Loupe后,用户可能会对随意授权权限感到谨慎。
例如,即使不授予任何额外权限,Loupe也能识别出手机的地区设置(如新加坡),键盘输入语言组合,设备激活时间(2023年9月),复制操作次数(29034次),以及上次开机时间(8天3小时44分钟前)。它甚至能通过分析安装的应用(如Steam、Discord、GitHub、Slack)来推测用户的兴趣和职业。
进一步查看Loupe的详细报告,可以发现它还能获取更多信息,例如iPhone 15 Pro的剩余存储空间(105GB),当前是否启用深色模式,屏幕亮度(约一半以上),电量(60%),是否连接充电器,双卡状态(均处于5G网络),甚至手机当前的倾斜角度和方向。
虽然这些零散的信息不足以直接定位到个人,但它们组合起来就构成了手机独一无二的“设备指纹”,足以让广告商在众多设备中识别出你的手机。而这些信息仅仅是通过公开API获取的。
如果像其他应用一样,Loupe被授予了相册权限,它就能分析图库中的1119段视频和9371张照片,其中3033张包含地理位置信息,并能统计出常去的地点。虽然Loupe仅显示“余杭区”,但照片中的EXIF信息可以精确到十米左右的经纬度。通过分析地点出现频率和时间,应用可以推测出用户的居住地、工作地点,甚至老家。这或许解释了为何有些应用即使未被授予定位权限,却能推送周边活动信息。
针对这种情况,建议用户将所有App的图片访问设置为通过系统图片选择器,这样iOS默认不会将照片的定位信息传递给应用。同时,对于提示“为了方便”而请求全部权限的弹窗,应选择“保持现状”。
如果Loupe被授予本地网络权限,它能够发现局域网内的其他设备,如打印机和NAS。虽然发现周围设备是该权限的合理功能,但令人不解的是,许多App在用户未明确需要时就主动索要此权限。
后续的位置、蓝牙、日历等权限的授予,都会让App对用户的了解更深入,设备指纹也更加清晰。
那么,在应用A中形成的设备指纹和偏好是如何被应用B获知的?这通常是通过广告SDK实现的。许多应用接入第三方广告SDK来展示广告。在展示广告的同时,SDK会将手机的设备特征上传到广告平台。这样,你在应用A留下的偏好信息就能被广告平台共享给应用B、C、D等。
原本,苹果提供了IDFV(同一公司旗下App共享一个标识符)和IDFA(跨应用识别用户)来帮助广告商识别用户。然而,自2021年苹果推出“App跟踪透明度”(ATT)框架后,用户可以拒绝App的跟踪,导致IDFA的有效性大大降低。
因此,广告商转而依赖设备指纹这一策略。Mysk团队曾抓包发现,Facebook、Instagram等应用虽然在隐私清单中承诺不外传某些信息,却仍将手机的开机时间等信息发送出去,这被认为是用于拼凑设备指纹。
在安卓阵营,情况也类似。有研究表明,大量安卓App和SDK中包含收集设备指纹的代码,尤其是在交友和漫画类应用中,这一比例更高。
Loupe是一款免费且开源的应用,iPhone用户可以尝试使用以了解自己的数据暴露情况。虽然广告商还有其他多种方式来分析用户偏好,但Loupe能帮助用户更清晰地认识到自己的数据是如何被收集和使用的,从而提高安全意识。
| 主队 | 比分 | 客队 | 联赛 | 时间(北京) |
|---|---|---|---|---|
| 近期暂无比赛,请稍后再来查看。 | ||||