苹果的App Tracking Transparency (ATT)框架据称通过限制数据收集来改善用户隐私,但被发现存在几个漏洞,可以让应用开发者继续跟踪用户。独立研究指出了该框架的主要缺陷,该框架是苹果去年年底推出的。这项研究还详细说明了苹果应用程序商店去年推出的隐私营养标签可能对所有应用程序都不准确,在某些情况下可能会令人困惑。
该研究团队包括来自牛津大学的独立研究人员和4名计算机科学家,分析了1700多个iOS应用程序,以确定应用程序跟踪透明度框架的范围和有效性。在最初的声明之后,这项隐私保护功能由于实施问题而被推迟,但最终在12月面向苹果用户推出。研究人员发现,虽然苹果迫使应用程序开发者将跟踪作为一项选择加入的功能,这使得个人用户更有可能选择退出,但大型公司仍然有可能在用户不知情的情况下跟踪用户。
苹果的应用追踪透明功能在推迟了一段时间后才推出
研究人员在一篇13页的论文中表示:“对独立研究人员来说,通过大规模分析使应用程序的隐私性质透明仍然是一个困难的目标,也是有意义的、负责任的和可验证的隐私保护的主要障碍。”
研究人员发现,ATT框架确实使应用程序开发者比以往任何时候都更难跟踪用户,因为他们被限制在一个有限的广告商标识符(IDFA)。这是包括Facebook在内的公司在该框架公开发布前反对苹果此举的原因之一,理由是破坏了他们的广告模式。
现在,研究表明,用户跟踪,即使在非常详细的水平上,仍然可以在某种水平上完成。研究人员还发现,苹果本身似乎也参与了“某种形式的跟踪”和“侵入性数据行为”,尽管营销隐私是其产品和服务的一个关键特征。
为了了解该框架的缺陷,研究人员分析了英国App Store共计1759个iOS应用程序的两个版本:一个是iOS 14之前的版本,另一个是为了遵守更新后的透明框架而更新的版本。
研究人员说:“许多应用程序仍然可以收集设备信息,用于在群体层面跟踪用户(群组跟踪)或概率识别个人(指纹识别)。”
研究人员还发现,“应用程序计算和通过使用服务器端代码同意指纹衍生标识符的真实世界证据”似乎违反了苹果的隐私和数据使用政策。
研究人员表示,在总共1759次应用中,有74次在安装和仪表过程中失败。结果,分析下降到剩余的1685个应用程序。研究人员发现,其中9个应用程序能够生成共享的用户标识符,可用于使用服务器端代码进行跨应用程序跟踪。该应用使用了阿里巴巴乌盟子公司生成的标识符。
一些库,包括来自Apple和谷歌的库,也被发现是使用最广泛的跟踪工具。尽管有App Store的限制,但仍有80%的应用包含至少一个跟踪库。
研究还发现,借助广告技术的更大份额,新系统还能让苹果更准确地跟踪用户。
除了ATT框架的缺陷之外,研究人员表示,自2020年底开始实施的隐私营养标签在所有情况下都不准确,可能会让一些应用程序感到困惑。在App Store的列表中出现标签,以帮助用户了解可以收集并用于跟踪的数据类型。
研究表明,苹果的隐私营养标签在某些情况下可能会令人困惑
研究人员说:“我们观察到许多应用程序提供的信息不完整,或错误地宣称不收集任何数据。”
同样值得注意的是,虽然大型应用程序开发人员发现遵守新政策更容易,但不太受欢迎的应用程序“仍可能构成意外的隐私风险”,因为它们没有声明跟踪组件。研究人员指出,这构成了App Store上的大部分应用程序。
Gadgets 360已经联系了苹果公司,征求其对这项研究的意见,并将在苹果公司做出回应后更新本文。
这并不是苹果阻止应用追踪的举措第一次被发现存在缺陷。在该框架推出后不久,英国《金融时报》的一篇报道强调,Snap应用程序开发者继续从用户那里收集数据。新框架和隐私政策的引入也让苹果的广告业务得以增长,并对谷歌、meta、Twitter和Snap等竞争对手造成负面影响。
