iOS 隐私功能「大漏洞」,所有手机都还处于被跟踪状态

如果说手机里没有藏一个人我是不信的。

不然怎么我刚浏览器搜完如何5块钱活10天,购物软件就推荐要饭铁碗;
看完今日逗图,广告推荐补充营养。

并且有时候甚至没打开手机,现实中聊到一个东西,结果也精准推送了过来,这不是科学能解释的了。

微信图片_20210927135554_看图王.png

这些情况源于网站、应用的跟踪。

跟踪是常见手段  

什么是跟踪?
在某种程度上来说,不同公司间网站、应用的用户信息数据流转都能叫做跟踪。

直接表现就是,你需要什么就给你推什么。

006qOO1Xly1gfl3jr5y7lj30u00st0xa.png

在这个内容大部分「免费」的互联网中,广告可以说是巨大的收入来源。

想要精准推送广告,跟踪用户数据、描绘用户画像是一个常见的手段。

1543665274166102.png

起初是觉得这种「个性化」的推荐方便了我们的生活。
但随着我们对互联网的依赖,几乎是所有活动都能在网站、应用上留下痕迹。
隐私问题想想都后怕,好在近些年对隐私的保护也日益重视。

减少隐私泄露   

光说手机,Apple 与 Google 在近些年不断找寻减少隐私泄露的方法。

首先做的就是将 IMEI、MAC、UUID 这些能对应到具体设备的唯一标识符保护起来。

iOS 的严格审查自然不用担心,Android 从 10 版本开始限制权限。
android 10 限制.png
这样就算你拥有大量的用户数据,但只要你不知道这些信息是谁的,那隐私数据面临的风险就大大减小了。
但为了保留广告用途,随机的、可重置的身份标识符应运而生,如:苹果的IDFA、谷歌的AAID、以及国内部分厂商使用的 OAID 。

可以说是一个非常不错的解决方案(如果严格执行的话)。

147ac0006585f185.png

iOS 直接拒绝跟踪   

而从 iOS 14.5 开始,所有APP 被要求必须使用 ATT (App Tracking Transparency ,应用追踪透明度)框架来征得用户同意,才能对其进行跟踪或者访问设备广告标识符。

并且用户可以直接不让他们询问,直接拒绝。

微信图片_202109270937081_看图王.png
这也太牛比了,苹果毕竟不做广告业务,是真的为用户服务啊。
当时小蝾也和不少人一样,因为这个第一时间更新了系统。
那我 iOS 关闭跟踪,岂不是我的隐私完全不会泄露了?想太美。

其实还是在跟踪   

根据前 Apple 工程师、隐私软件制造商 Lockdown Privacy 的成员测试表明:即使是你要求 APP 不跟踪,一些 APP 还是会继续窥探你的隐私。

006APoFYly8grepay6rnbj306m07e0t5.jpg

为了测试有效性,选择了 Apple Store 上十个排名靠前的应用, iOS 版本14.8 及 iOS 15 RC 版均进行了测试(结果没区别)。
使用开源免费的 LockdownPrivacy 对分别开关 要求APP 不跟踪,得到的跟踪总数以及尝试次数进行了统计。

结果表明,不管是开还是关,对第三方跟踪活动都没有产生显著的差异变化,只有跟踪尝试次数降低了可怜的13% 。

att测试1.png

ATT2.png
显然苹果关于 ATT 框架的美好愿景并没有实现,这些 APP 都没有遵守这个要求。

不过为何又能通过苹果一向严格的审查?

994b6f2egy1fgryfi19rhj208c08cq3a.jpg

巨大漏洞   

原因出在苹果对 跟踪 一词的定义,太过狭义。
必须满足所有这些条件,才会被要求询问:
1、必须跨不同公司应用;
2、必须专门用于有针对性的广告或广告测量目的;

3、不视为“跟踪”的所谓可接受跟踪行为的列表,也就是白名单。

不属于.png
这里面就有太大的空子了,软件厂商可以有很多办法来让自己的跟踪行为不属于会被 iOS 要求询问的跟踪,比如:以「欺诈检测」为名,获取数十种数据,其中混有其他目的的数据,ATT 就无可奈何。
甚至如果是软件厂商故意隐藏或者加密跟踪,比如嵌入 AppsFlyer 也可以通过。
att cheat.png

隐私问题   

本以为 iOS 的更新为我们带来了更好的隐私保护,结果没想到只是给用户的心理安慰。

并且吧,要是不限制隐藏、加密跟踪,隐私将会更加不安全。

zsw0f08fyq541.png
所以现在想想,允许仅供广告用途的身份标识符同时完全限制其他不安全的跟踪方式才是更应该做的。
而 Android 阵营,也希望能尽快统一标准、杜绝使用 IMEI 等标识符的跟踪。
我想穿上裤子上网。