English
中文
Deutsch
StartseiteArtikel

Warum wissen andere Apps sofort, was du gerade gesucht hast?

差评2026-06-23 09:59
Jetzt traut man sich nicht mehr, Berechtigungen willkürlich zu vergeben.

Haben Sie schon mal diese Erfahrung gemacht:

Am Tag davor haben Sie auf einer Social-Media-App nach einem Paar Crocs gesucht. Am nächsten Tag werden Sie in einer völlig anderen Shopping-App auf diese Schuhe hingewiesen...

Sie beginnen zu paniken und versuchen sich zu erinnern, ob Sie diese Schuhe in der zweiten App überhaupt erwähnt haben.

Nachdem Sie sich davon überzeugt haben, dass das nicht der Fall ist, beginnen Sie zu spekulieren: Entweder „haben diese beiden Unternehmen heimlich meine Daten ausgetauscht“, oder „oh nein, das Mikrofon meines Handys hört mich ab“.

Obwohl beide Szenarien ziemlich abstrus sind, insbesondere das Abhören per Mikrofon, das leicht aufgedeckt werden kann, wenn man die Netzwerkpakete analysiert, wage ich es nicht, für die Internetunternehmen zu garantieren, dass sie sich nicht so verhalten.

Heute möchte ich aber darüber sprechen, dass Werbetreibende tatsächlich noch geheißere und sicherere Methoden haben, um Ihnen ein Paar Crocs über verschiedene Apps hinweg zu präsentieren:

Es reicht, dass die App Ihr Handy „kennt“.

Wenn ein Handy in App A nach Crocs gesucht hat, wird diese Präferenz unter dem Namen des Geräts gespeichert.

Wenn dasselbe Handy in App B erkannt wird, können die Werbetreibenden weiterhin auf diese Präferenz abzielen. Sie identifizieren das Gerät, und es spielt keine Rolle, wie Sie heißen oder wer Sie sind.

Die Frage ist nun, wie die Werbetreibenden diese Informationen sammeln und wie sie aus dem Handy entkommen?

Kürzlich hat ich eine App entdeckt, die von einem Sicherheits-Team entwickelt wurde: Loupe.

Ihre einzige Funktion besteht darin, den Benutzern zu sagen, wie viele Daten ihre Handy-Apps tatsächlich sammeln können und welche Informationen sie durch die Genehmigung weiterer Berechtigungen preisgeben.

Nachdem ich diese App benutzt habe, bin ich wirklich vorsichtiger bei der Erteilung von Berechtigungen. Es war wie ein Lehrgang!

Als ich Loupe zum ersten Mal öffnete und keine Berechtigungen erteilte, bekam ich einen deutlichen Hinweis.

Sie wusste, dass ich die Region meines Handys auf Singapur eingestellt habe, dass ich eine Tastatur mit chinesischen und englischen Zeichen verwende, dass das Gerät im September 2023 aktiviert wurde, dass ich seitdem 29.034 Mal kopiert habe und dass ich das Handy zuletzt vor 8 Tagen, 3 Stunden und 44 Minuten eingeschaltet habe.

Sogar eine Art Profil über mich wurde erstellt. Sie wusste, dass ich Steam und Discord installiert habe und schlussfolgerte, dass ich wahrscheinlich ein Spieler bin. Außerdem bemerkte sie, dass ich GitHub und Slack installiert habe und schloss daraus, dass ich in der Technologiebranche arbeite.

Das war nur das, was in der App angezeigt wurde. Wenn Sie sich den detaillierten Bericht ansehen, werden Sie feststellen, dass die App noch viel mehr weiß.

Beispielsweise wusste sie, dass mein iPhone 15 Pro noch 105 GB Speicherplatz hat, dass es im dunklen Modus läuft, dass die Bildschirmhelligkeit auf etwas mehr als die Hälfte eingestellt ist, dass der Akku zu 60 % geladen ist und dass kein Ladegerät angeschlossen ist. Sie wusste auch, dass ich ein Dual-SIM-Handy verwende, dass beide SIM-Karten im 5G-Netz sind und sogar, wie das Handy geneigt und in welche Richtung es zeigt.

Sie denken vielleicht, dass all diese Einzelheiten nicht so wichtig sind und dass man uns nicht anhand dieser Informationen lokalisieren kann?

Das stimmt tatsächlich.

Aber wenn man all diese Informationen zusammenfasst, entsteht ein einzigartiges Merkmal für dieses iPhone, das sogenannte Geräte-Fingerabdruck. Dies reicht aus, um Ihr iPhone unter vielen anderen Handys zu identifizieren.

Außerdem handelt es sich hierbei nur um die Informationen, die Loupe über öffentliche APIs erhalten hat:

Was würde passieren, wenn ich Loupe weitere Berechtigungen wie Zugang zum Fotoalbum oder zur Standortbestimmung erteile?

Ich habe Loupe die Berechtigung zum Zugang zum Fotoalbum erteilt.

Bald darauf wurde mir mitgeteilt, dass ich 1.119 Videos und 9.371 Fotos in meinem Fotoalbum habe, von denen 3.033 mit einem Standort versehen sind. Die App zeigte auch, welche Orte ich am häufigsten besucht habe.

Obwohl die App nur auf die „Yuhang District“ genauer wird, ist das nur für die bessere Darstellung in Loupe.

Die EXIF-Informationen in den Fotos enthalten genaue Koordinaten, die auf etwa zehn Meter genau sind. Wenn eine App die Häufigkeit und Zeitpunkte der verschiedenen Standorte analysiert, kann sie ungefähr erraten, wo ich wohne, wo ich arbeite und wo mein Heimatort ist.

Ich habe jetzt verstanden: Manche Apps senden mir Standortbezogene Aktivitäten und Neuigkeiten, obwohl ich ihnen keine Standortberechtigung erteilt habe. Könnte das daran liegen, dass ich ihnen aus Bequemlichkeit den vollen Zugang zu meinem Fotoalbum gewährt habe?

Ich empfehle es, alle Apps so einzustellen, dass sie den System-Fotoauswahl-Dialog verwenden. Wenn Sie nur einzelne Fotos autorisieren, sendet iOS standardmäßig keine Standortinformationen an die App.

Übrigens, wenn Sie auf Pop-ups stoßen, die Sie bitten, alle Berechtigungen „aus Bequemlichkeit“ zu erteilen, klicken Sie bitte auf „Status quo beibehalten“.

Als nächstes erteile ich Loupe die Berechtigung für den lokalen Netzwerkzugang, um zu sehen, was sie damit an Informationen sammeln kann.

Ehrlich gesagt, denke ich normalerweise nicht viel über diese Berechtigung nach. Ich denke nur, dass man damit einen Drucker verbinden oder den Bildschirm auf einen anderen Bildschirm übertragen kann.

Aber nachdem ich die Berechtigung erteilt habe, wurden alle Computer meiner Kollegen im lokalen Netzwerk, ein HP-Laserdrucker und zwei Greenliant-NAS-Speichergeräte angezeigt.

Natürlich ist es logisch, dass diese Berechtigung es der App ermöglicht, alle Geräte in der Umgebung zu sehen, sonst könnte man die Geräte nicht finden.

Ich verstehe nur nicht, warum diese Berechtigung nicht erst dann angefordert werden sollte, wenn ich tatsächlich den Bildschirm übertragen möchte?

Warum fordern viele Apps diese Berechtigung schon beim Öffnen an?

Ich werde die Berechtigungen für Standort, Bluetooth und Kalender nicht näher erläutern. Sie können die Informationen auf den Screenshots einsehen.

Jede Genehmigung, die Sie erteilen, erhöht die Kenntnisse der App über Sie und präzisiert und bereichert Ihren Geräte-Fingerabdruck.

Wie weiß App B dann von den Fingerabdrücken und Präferenzen, die in App A ermittelt wurden?

Die Antwort ist: Die Werbetreibenden.

Viele Apps verwenden keine eigene Werbesysteme, sondern integrieren ein vorhandenes Werbe-SDK. Die Startseiten-Werbung und die Werbung in den Newsfeeds, die Sie in den Apps sehen, werden von diesem Code aus einer Werbeplattform abgerufen und angezeigt.

Zur gleichen Zeit sendet das SDK die Merkmale Ihres Handys an die Werbeplattform zurück.

Somit können die Werbetreibenden Ihre Präferenzen, die Sie in App A hinterlassen haben, an App B, C und D weitergeben.

An sich müsste es für das SDK nicht so schwierig sein, Ihr Handy zu identifizieren.

Apple hat ursprünglich einen offiziellen Identifikationscode namens IDFV herausgegeben, der bedeutet, dass „mehrere Apps einer Firma denselben Code verwenden“. Wenn Sie also mehrere Apps von derselben Firma installiert haben, können diese Apps Sie problemlos als dieselbe Person identifizieren.

Aber wenn es um Apps von verschiedenen Firmen geht, ist der IDFV nicht mehr gültig. Dann tritt der IDFA in das Spiel. Der IDFA ist für jedes Handy eindeutig und wird von allen Apps verwendet, um Benutzer über verschiedene Apps hinweg zu identifizieren.

Aber es gibt ein Problem.

Im Jahr 2021 hat Apple die App-Tracking-Transparenz (ATT) eingeführt und die Kontrolle über den IDFA an die Benutzer zurückgegeben. Bevor eine App den IDFA verwenden kann, muss sie den Benutzer fragen. Wenn Sie „Verweigern“ auswählen, wird der Code sofort gelöscht.

Deshalb müssen die Werbetreibenden schließlich selbst tätig werden und diese Geräte-Fingerabdruck-Strategie anwenden.

Werden diese Strategien tatsächlich von Apps heimlich verwendet?

Ja, das ist der Fall.

Das Entwicklerteam von Loupe, Mysk, hat zuvor die Netzwerkverkehr von Facebook, Instagram, Threads, Chrome und Spotify analysiert und festgestellt, dass diese Apps, obwohl sie in der Apple-Privatsphäre-Liste versprochen haben, &bdquo

该文观点仅代表作者本人,36氪平台仅提供信息存储空间服务。

Für Presseanfragen, Content-Kooperationen, Geschäftliche Zusammenarbeit oder zur Gewinnung globaler Partner im Ökosystem, können Sie uns über folgenden Kontakte erreichen: E-Mail an mohaiying@36kr.com.
Partner:startuprad.io

(eu.36kr.com) ist ein branchenspezifisches Medium, das sich auf internationale Märkte konzentriert und Unternehmen bei ihren grenzüberschreitenden Aktivitäten mit umfassender Beratung und professionellen Dienstleistungen unterstützt.

© 2024 36kr.com. All rights reserved.