6.0
深览指数
科技腾讯新闻·差评XPIN··AI 生成
为什么你刚搜的东西,其他App转头就知道了?
本文通过实操安全团队Mysk开发的App「Loupe」,揭示了广告商如何利用「设备指纹」技术实现跨App精准推送。作者演示了在不给任何权限的情况下,App即可通过手机型号、地区、键盘语言、开机时间等零碎信息拼凑出唯一识别码;进一步开放权限后,更能获取照片位置、局域网设备等敏感数据。文章核心观点是:在苹果IDFA被用户可控后,广告商转而通过收集系统元数据(如开机时间、存储空间等)来构建设备指纹,并详细解释了广告SDK如何将跨App行为数据串联。最后,文章提供了关闭照片定位、拒绝非必要权限等具体防护建议。原文 ↗
核心观点
- ▍广告商通过拼凑手机系统元信息(如激活日期、开机时间、存储空间等)形成「设备指纹」,替代IDFA实现跨App用户识别与推送,而非依赖麦克风偷听或直接数据交换。
- ▍苹果2021年上线App跟踪透明度(ATT)政策后,跨App通用IDFA被用户管控,广告商转而采用「设备指纹」这一更隐蔽的技术路径。
- 01安全团队Mysk开发的App「Loupe」展示:在不给任何权限时,仅通过系统API即可获取手机地区、键盘语言、激活日期、复制次数(29034次)、上次开机时间(8天3小时44分钟前)等信息。
- 02Loupe还能通过观察安装的App列表(Steam、Discord、GitHub、Slack)为作者绘制用户画像,判断其为「游戏玩家且在科技行业工作」。
- 03开放相册权限后,Loupe发现1119段视频、9371张图中3033张带地理位置,并精准列出用户常去地点(余杭区),而这些信息可被用于推断住址、工作地等。
- 04开放本地网络权限后,Loupe可扫描并列出局域网内的所有设备(同事电脑、HP激光打印机、绿联NAS)。
- 05Mysk团队曾抓包发现,Facebook、Instagram、Threads、Chrome、Spotify等App在苹果隐私清单中承诺「不外传」的信息(如开机时间),实际上仍被偷偷发送出去用于拼凑设备指纹。
- 062025年谷歌研究团队对18万个安卓App和22万个SDK的研究显示,39.4%的热门App存在收集设备指纹的SDK,交友和漫画类App中该比例飙升至82%和88%。
反方 / 局限
- — 文章承认设备指纹并非广告商唯一手段,还包括相似人群扩量、账号打通、协同过滤等多种方式,用户无需过度恐慌。
9 分钟 · 5 卡片 · 14 资料
读原文 →