苹果反应用追踪有效吗?多数流行iOS应用仍在向第三方发送用户信息

腾讯科技 2021-09-24

划重点

1、苹果于今年4月份推出了所谓的ATT反应用追踪功能,但有些应用仍在未获得用户同意情况下向第三方发送数据。

2、利用IP地址、存储服务、音量、电池电量等数据,广告商可以识别特定的iPhone,了解用户使用了哪些其他应用。

3、调查发现,即使用户拒绝接受追踪,大多数应用也会继续在幕后与被称为“追踪者”的第三方数据公司进行通信。

4、除非苹果采取行动,否则iPhone用户的隐私依然掌握在应用程序开发商和数据公司手中。

腾讯科技讯 9月24日消息,现在苹果用户可以点击iPhone上的一个按钮,上面写着“要求应用不要追踪”。但在幕后,许多流行应用程序仍在继续窥探人们的隐私。

假设用户打开应用程序《地铁跑酷》(Subway Surfers),它被列为苹果应用商店中的“必玩”游戏之一。它会询问你是否同意接受“追踪”,这是iPhone自4月份以来开始弹出的一个问题,也是苹果打击侵犯隐私行为的一部分。如果用户拒绝,理论上可以阻止《地铁跑酷》和Facebook等应用程序追踪其在其他应用程序和网站上做的事情。

iPhone在4月份开始显示这个弹出窗口,这是苹果打击侵犯隐私行为的一部分

但隐私软件开发商Lockdown和《华盛顿邮报》联合调查的结果显示,当用户拒绝接受追踪后,许多奇怪的事情发生了。《地铁跑酷》开始向外部广告公司ChartBoost发送关于用户iPhone的29个非常具体的数据点,包括互联网地址、免费存储空间、当前的音量水平,甚至还有电池电量。这些都属于非常独特的数据,广告商可以用它们来识别特定iPhone,可能会让他们知道用户使用了哪些其他应用程序,或者如何瞄准特定的人。

换句话说,它回避了用户想要独处的请求。用户甚至阻止不了它,而且隐私也因此变得更糟。

苹果在最新的“反应用追踪”功能App Tracking Transparency(简称ATT)规定,应用程序不允许追踪那些明确表示不希望被追踪的人。那么为什么会发生这种情况呢?隐私权倡导者认为,这种数据收集很可能是在跟踪,只是用了个不同的名字:指纹识别。

调查显示,iPhone的追踪保护远不如苹果广告所暗示的那样全面,至少有三款非常流行的iPhone游戏与广告公司共享大量的识别信息,即使在用户要求不被追踪之后也是如此。

苹果发言人弗雷德·塞恩斯(Fred Sainz)表示:“苹果认为,追踪应该对用户保持透明,并在他们的控制之下。如果我们发现开发商没有尊重用户的选择,我们将与他们合作解决这个问题,否则他们将被从应用商店中移除。”

当向苹果提供上述发现时,苹果表示其正在与相关公司接触,以了解他们正在收集哪些信息,以及他们是如何分享这些信息的。但几周后,情况似乎没什么改变。

最近的苹果广告,比如柏林的这块广告牌,吹嘘iPhone阻止了人们不想要的追踪

用户拒绝追踪个人信息仍被发送

苹果所谓的反应用追踪倡议促使Facebook和Zynga等大型应用程序开发商抱怨称,这可能会危及他们的利润,但这并不意味着能够阻止所有追踪。

为了弄清楚当用户点击“要求应用程序不要追踪”时会发生什么,Lockdown表示,它在运行iOS 14.8的iPhone上测试了十款流行的应用程序,并在最新的iOS 15上再次测试了这十款应用程序,分析了它们都发送了哪些个人信息。

作为iOS 14.5带来改进的一部分,这些应用程序不再能够访问某些有价值的数据,包括每部iPhone都拥有的、独一无二的IDFA(Identifier for Advertisers,即用于追踪用户的广告标识符)。但除了这个号码,还有其他信息可以识别用户的手机。

Lockdown发现,大多数应用程序继续在幕后与被隐私倡导者称为“追踪者”的第三方数据公司进行通信,其中的大多数公司我们甚至没有听说过,但它们可以从iPhone上接收大量信息,潜在地揭示用户如何使用应用程序以及位置数据。它们对数据的使用可能是良性的,比如帮助应用程序找到漏洞并追踪其设计效果,它们也可能会将用户的信息提供给广告商和数据经纪人。

在Lockdown调查的应用程序中,点击不要追踪按钮对应用程序联系的第三方追踪者总数没有任何影响,而这些应用程序试图向这些公司发送数据的次数仅下降了13%。

Lockdown联合创始人、前苹果iCloud工程师约翰尼·林(Johnny Lin)说:“在阻止第三方追踪者方面,苹果反应用追踪功能更像是个哑巴。更糟糕的是,让用户选择点击‘要求应用不要追踪’按钮,甚至可能会给用户一种错误的隐私安全感。”

Lockdown联合创始人约翰尼·林调查了在10款流行应用上点击“要求应用不要追踪”后会发生什么

更令消费者担忧的是,Lockdown表示,它调查的三款应用程序《地铁跑酷》和《主播生活》(Streamer Life!)以及《Run Rich 3D》似乎正在收集数据,这些数据可以用于被称为“数字指纹识别”、更具侵入性的追踪。

当应用程序从用户的iPhone中获取看起来无害的技术方面信息,比如音量、电池电量和IP地址时,就会进行指纹识别。这些细节结合起来,就可以勾勒出用户手机的基本轮廓,就像每个人的指纹那样独特。

在同一部测试手机上,Lockdown测试的所有三款游戏都向广告网络ChartBoost发送了几乎完全相同的设备特定数据点阵列。这个广告网络是游戏发行商和广告商之间的中间人。这三款游戏还向一家名为Vungle的广告公司发送了测试iPhone的“超特殊”特性。这可能会让应用程序开发商和广告商在没有用户同意的情况下将这些数据点联系起来,并追踪他们。

无论是Lockdown还是被咨询的其他隐私专家都不能肯定,这些应用程序发送的数据发生了什么,或者这些数据是否被用来追踪人们的广告。只有应用程序开发商自己才能解释这些数据被如何利用。

很少有应用程序开发人员会给出明确答案。《地铁跑酷》开发商SYBO公司在电子邮件中写道:“为了让游戏正常运行,有些数据会被传送给广告网络公司。作为一家公司,未经用户同意,我们不会出于广告目的跟踪用户。”然而,该公司没有具体说明为什么需要向广告公司发送如此多的个人信息才能正常运作。

《Run Rich 3D》的开发商没有回复置评请求。《主播生活》开发商称其符合苹果的隐私规定。游戏制造商Zynga旗下的广告公司ChartBoost拒绝回答提问,但该公司表示:“我们致力于保护终端用户的隐私,同时为我们的发行商提供尽可能好的体验,以支持他们的广告收入来源。”

广告公司Vungle说,它收到的数据点不能被用来“识别用户或辨别他们可能使用的其他应用程序”。该公司还称,它们“可以确保我们在正确的国家和应用程序上展示与正确的设备、正确的语言兼容的广告。”但它没有解释电池电量等数据是如何帮助它做到这一点的。苹果表示,对iPhone进行指纹识别长期以来始终是违反其规定的行为。

这位顾客在旧金山苹果专卖店试用iPhone 12 Pro

“追踪”定义模糊更难禁止

在对“追踪”的含义几乎没有达成一致的情况下,很难禁止这种追踪行为。

许多iPhone用户可能认为,这意味着一款应用程序以某种方式获取你的数据,可能包括你的位置。隐私权倡导者辩称,只要应用程序或网站在未经你明确同意的情况下与第三方分享你的个人信息,追踪就可能发生。这是又一家可能泄露或滥用你的数据的公司。

苹果对追踪的定义更为狭隘:将在一家公司的应用或网站上收集的有关你的信息与不同公司收集的信息联系起来,仅用于广告定向、广告测量或出售给数据经纪人的行为才算追踪。它排除了用于其他目的的共享数据行为,如分析和打击欺诈等。

应用行业的许多人正在推广他们自己对追踪的定义,同时看看他们可以在多大程度上改变苹果提供的定义。这是因为对于依赖广告的应用程序来说,苹果的追踪保护是个坏消息。如果没有证据证明广告商的广告促使人们下载另一款应用程序或进行购买,广告商就不愿付费。

在苹果改变隐私设置之前,将客户与他们点击的广告相匹配相对容易。但iOS14.5带来了一个巨大的问题:该行业原本依赖于追踪的技术IDFA突然消失了。广告业的许多人对此使用了不同的术语,比如“概率匹配”,这是在不确定用户身份的情况下使用从iPhone收集的个人信息来定位广告的方法。

这种做法导致了应用程序行业的分化。APP数据公司Branch的首席执行官亚历克斯·奥斯汀(Alex Austin)表示:“我们不断受到客户的压力,他们希望对选择退出的用户进行概率匹配。我们相信,苹果最终会在这件事上采取行动,打击那些试图规避风险的公司。”

有些数据公司几乎不会隐瞒他们在做什么。Lockdown发现,AppsFlyer和Kochava这两家数据公司建立的设置,可以让他们的客户忽略人们的追踪偏好。

Lockdown拍摄的AppsFlyer免责声明截图

广告性能软件开发商Kochava推出了名为“AppleTracker 4.6.1”的产品。Lockdown发现,Kochava允许其客户简单地切换开关来覆盖用户的追踪请求。Kochava说,这一功能的设计目的是让公司可以通过自己拥有的应用程序和网站来跟踪客户,这并不违反苹果公司狭隘的反追踪定义。但几乎没有什么能阻止开发人员使用Kochava来跟踪不同公司开发的应用程序,这绝对违反了苹果的规定。

Lockdown发现数据公司AppsFlyer也使用类似的方法。Lockdown联合创始人、前苹果iCloud工程师约翰尼·林(Johnny Lin)称这是一种隐私作弊模式,所要做的就是“点击一个按钮”。

谁对这项技术的使用负责?这两家公司的网站上都有警告,告诉应用程序开发商不要滥用他们的能力来对付那些选择不接受追踪的人。但从技术上讲,他们并没有阻止这种行为。

Kochava说:“这些指导方针是由苹果公司编写的,我们希望苹果公司执行它们。Kochava的默认行为符合苹果公司的政策。”AppsFlyer也称:“应用程序开发商完全控制了局面。”

苹果iPhone全球产品营销高级总监凯安·德兰斯在iPhone 13虚拟发布会上强调隐私是关键卖点

苹果会推出新解决方案吗?

保护隐私已经引发军备竞赛。许多倡导者表示,苹果对追踪行为的打击起到了重要作用。数字权利倡导组织“电子前沿基金会”(EFF)的技术专家本尼特·塞弗斯(Bennett Cyphers)说:“苹果从‘默认情况下允许追踪’转变为‘只有在用户选择接受时才允许追踪’,这是一件非常了不起的事情。”

但如果你是个注重隐私的iPhone用户,指纹识别的兴起是个坏消息。美国联邦贸易委员会(FTC)前首席技术专家阿什坎·索尔塔尼(Ashkan Soltani)称:“以前,消费者对自己的数据有一定的控制权。例如,他们至少可以重置IDFA,并知道他们可能会将之前的活动与他们正在进行的任何新行动脱钩。通过指纹识别,你不知道是否有公司真的在追踪你的活动。如果发生这种情况,他们也没有简单的方法来阻止它。”

悬而未决的问题是苹果将对此做些什么。许多应用开发商和数据公司都躲在苹果背后,称如果他们做错了什么,苹果会在允许他们进入应用商店之前的审查中阻止他们。今年4月,苹果似乎在与一家名为Adjust的数据公司合作的应用程序中树立了榜样,促使后者停止收集某些数据点。但业内高管表示,自那以来,苹果的执法已经失败,数据公司正在观察他们能把这种执法推进到什么程度。

咨询公司Heracles的创始人埃里克·休弗特(Eric Seufert)说:“苹果没有采取任何措施来阻止这一趋势,所以每家公司都开始这么做。” 而苹果表示,遵守其规则是应用程序本身的责任,但出于与反应用追踪和指纹识别相关的政策考虑,苹果已经拒绝了数万个应用程序。

如果没有彻底的审计,即使是苹果也很难确切知道数据在离开应用程序并流向第三方后会发生什么。有些应用程序和数据公司还采取技术措施隐藏代码,使调查变得更加困难。应用程序确实必须在隐私政策中说明它们将数据发送给第三方,但通常没有具体说明发送给谁或确切原因。苹果今年早些时候开始要求应用程序在其应用商店上发布的隐私“营养标签”,但这也不包括接收数据的公司名称。

iOS 15中新的应用隐私报告功能可以让人们看到他们使用的应用联系了哪些域名,但用户不能单独选择退出连接。如果你想屏蔽追踪者,Lockdown、Jumbo Privacy或Disconnect的Privacy Pro等软件会试图切断与追踪业务公司的联系。

苹果也有可能会拿出新的技术解决方案,让应用程序更难在其设备上进行指纹识别。作为iCloud+订阅的一部分,苹果提供的新的私人中继服务可能会为此铺平道路。它隐藏了Safari浏览器中网络追踪者的IP地址,这一数据点通常也是应用程序指纹识别的关键。

除非苹果采取行动,否则iPhone用户的隐私就掌握在应用程序开发商和数据公司手中。考虑到他们的历史,把我们的个人信息托付给他们更让人感到不安! (腾讯科技审校/金鹿)