世界杯官网

你是否经历过这样的情景:前一天在某个社交应用上搜索了洞洞鞋,第二天却在毫不相关的购物应用中看到了同款鞋的推荐?

你可能会感到不安,仔细回想是否在第二个应用中搜索过。在确认没有后,你开始猜测:要么是两家公司私下共享了你的数据,要么是手机的麦克风在窃听。

尽管这两种猜测,尤其是麦克风监听,操作难度大且容易被发现,但考虑到当今互联网公司的行为底线,也不能完全排除。

本文将探讨一种更隐蔽且安全的方法,让广告商能够在不同应用之间推送你搜索过的洞洞鞋:只需识别出“你的手机”即可。

例如,一台手机在应用A搜索了洞洞鞋,这个偏好就被记录在设备名下。当切换到应用B,如果仍然识别出是同一台设备,就能继续推送该偏好。这种识别是基于设备本身,而无需知道你的姓名或身份。

那么,广告商是如何记录这些信息,又是如何泄露的呢?

最近,一个名为 Loupe 的安全应用引起了世超的注意。

它只有一个功能:揭示手机应用能够获取多少你的数据,以及你每授予一个权限会暴露哪些信息。

使用 Loupe 后,世超表示不敢随意授予应用权限了,这真是一次深刻的学习。

例如,刚打开 Loupe 时,即使不授予任何权限,它也立即展示了它所知的信息。它知道你的手机地区设置为新加坡,键盘支持中英文混合输入,设备是2023年9月激活的,自激活以来已执行29034次复制操作,并且上次开机是在8天3小时44分钟前。

它甚至能根据你安装的 Steam 和 Discord 推测你是游戏玩家,而 GitHub 和 Slack 的存在则让你看起来像是在科技行业工作。

以上信息仅是应用界面显示的,更详细的报告会揭示更多内容。例如,Loupe 可能知道你的 iPhone 15 Pro 剩余105GB存储空间,当前使用深色模式,屏幕亮度约为一半,电量60%,未连接充电器;支持双卡双待,两张卡均处于5G网络,甚至还能感知手机的倾斜角度和方向。

你可能觉得这些零散的信息不足为惧,无法定位到你。确实如此。

但这些信息组合起来,就构成了你的 iPhone 独一无二的“设备指纹”,足以让广告商在众多手机中识别出你的设备。

而且,这些信息是 Loupe 基于公开API获取的。

如果像其他应用那样,你授予 Loupe 访问相册或定位的权限,它将能获取更多信息。

世超尝试授予相册权限后,Loupe 立即显示了图库中有1119段视频和9371张图片,其中3033张带有地理位置信息,并列出了你常去的地点。

尽管 Loupe 仅显示“余杭区”,这只是为了方便展示。照片中的EXIF信息包含精确到十米左右的经纬度。通过分析不同地点出现次数和时间点,应用可以大致推测出你的居住地、工作地点,以及节假日可能回乡的地点。

世超开始理解,为什么有些应用即使未被授予定位权限,却能推送周边活动和信息,这可能与授予了整个相册访问权限有关。

建议大家将所有应用设置为使用系统图片选择器,这样在iOS上,默认情况下照片的定位信息不会被发送给应用。

另外,对于那些以“方便”为由请求开启全部权限的弹窗,请记得选择“保持现状”。

接着,世超授予 Loupe 本地网络权限,以观察其能获取哪些信息。

通常,这个权限是为了连接打印机或投屏,但一旦允许,网络内的所有同事电脑、HP激光打印机、两台绿联NAS都会被显示出来。

当然,能够发现周围设备是本地网络权限的合理功能,以便进行连接。

但令人费解的是,为何很多应用在仅仅打开它们后,就会主动索要此权限?

后续的位置、蓝牙、日历等权限,Loupe 也能获取更多信息。每授予一个权限,应用对你的了解就越深入,你的设备指纹也就越清晰和多元。

那么,在应用A中生成的设备指纹和偏好,应用B是如何得知的呢?

答案在于广告商。许多应用不自行开发广告系统,而是集成现成的广告SDK。你在应用中看到的开屏广告或信息流广告,都是通过这些代码从广告平台获取并展示给你的。

同时,SDK会将你设备的特征上传至广告平台。这样一来,你在应用A中留下的偏好信息,就能通过广告平台被应用B、C、D等其他应用所知晓。

理论上,SDK识别你的设备并不需要如此复杂。苹果曾提供IDFV(ID for Vendor),用于同一公司旗下应用间的用户识别。如果安装的应用来自同一公司,识别用户并不困难。

然而,跨公司识别时,IDFV不再通用,此时IDFA(ID for Advertisers)便派上用场,它为每个设备生成一个通用ID,专门用于广告商跨应用识别用户。

但情况又发生了变化。

2021年,苹果推出App跟踪透明度(ATT)政策,将IDFA的控制权交还给用户。应用需要先弹窗询问用户是否同意跟踪,如果用户选择“要求App不要跟踪”,则该IDFA将被清零。

因此,广告商不得不转向自行构建设备指纹识别策略。

那么,是否真的有应用在偷偷使用这种策略?

是的,确实存在。Loupe 的开发者团队Mysk曾监测到Facebook、Instagram、Threads、Chrome、Spotify等应用,尽管它们在苹果的隐私清单中承诺不会外传所读取的信息,但实际上却悄悄地将用户的设备开机时间发送出去。

这不禁让人疑惑,为何需要开机时间,难道是用来拼凑设备指纹?

真相只有一个,就是在构建设备指纹。

类似的情况也存在于安卓平台。2025年,谷歌的一项研究发现,在18万个安卓应用和22万个SDK中,有39.4%的热门应用集成了收集设备指纹的SDK。在交友和漫画类应用中,这一比例更是高达82%和88%。

以上是关于Loupe这款应用的功能介绍。

目前,Loupe 完全免费且开源。iPhone用户可以尝试下载使用(安卓用户可能需要等待)。

当然,体验后不必过度担忧。广告商除了设备指纹,还有相似人群推荐、账号打通、协同过滤等多种方式来预测你的兴趣和购买意向。

Loupe最大的价值在于,它能让你了解哪些数据被暴露,以及暴露的途径,从而提高安全意识,平时多加留意。