手机中隐藏的跟踪器:他们如何使用您手机的应用程序监视您

  • 当他们宣称 “追踪冠状病毒传播” 时,人们都表示同意了;但是,他们很快就用这一人民赋予的权力去追踪迫害抗议者和异议人士。狼宣称支持素食主义是可笑的,您应该知道如何自己保护自己

在冠状病毒疫情早期,一家名为 Tectonix 的公司的一张动画地图开始走红。 它显示了春假游客如何离开佛罗里达州的海滩返回各地的家,3月初在海滩上聚集的一系列橙色小点在随后的两周内分散到全国各个城市。

“你可以清楚地看到,仅仅一个海滩聚会的潜在影响有多大,它已经在我们的国家传播这种病毒”,该视频的旁白说,“数据告诉了我们看不到的故事。”

但是,那里还有另一个大多数人都看不到的故事:隐藏在智能手机应用程序中的追踪器是如何成为关于您的大量具体数据的来源,其中大部分数据被发送到您从未听说过的公司。

这种情况已经持续多年了,是移动应用经济的重要组成部分。但是,Covid-19 大流行才让这些公司中的一些以及他们的能力,走到了前台.

您的手机是广告商和数据经纪人的理想工具,既可以收集您的信息,又可以根据这些信息为您提供针对性的广告。这通常是通过软件开发工具包 SDK实现的,这些公司免费提供给应用程序开发人员,以换取可以从他们那里收集的信息、或通过他们出售的部分广告。例如,当您打开天气应用的位置服务以便获得本地天气预报时,您就已经把您的位置数据传递给了别人。

这就是 X-Mode 如何获得用于创建 Tectonix 春假游客移动地图的数据。

一家名为 Unacast 的公司在其SDK中使用追踪器,对各地居民的社交距离和呆在室内的情况进行评级;还有 Cuebiq,它通过SDK收集位置数据,并将这些信息分享给《纽约时报》,发表了多篇文章,介绍随着出行禁令的解除和各州的重新开放,社交距离是如何变化的。

这仅仅是在该报在一个大篇幅的专题中对 Cuebiq 的位置收集做法给予了更多批判性的介绍之后的几个月,这也显示了现在公众舆论可能的转变,即 这种侵入性数据再次被认为 “用来拯救生命或加速回归正常”。

人们最近还看到这些数据如何被用于许多人认为无助于公共利益的方式。最近华尔街日报的一篇文章披露,位置数据不仅被卖给营销商或数据经纪人,还被卖给警察部门,用于帮助抓捕无证移民。最近,一家名为 Mobilewalla 的数据公司吹嘘自己有能力追踪抗议者的手机,尽管这些数据据声称匿名,但该公司说可以识别抗议者的年龄、性别和种族。

虽然您的手机上的大多数应用程序(如果不是全部的话)都使用了几个SDK,但使用这些应用的人却很少了解它们是什么,或者它们如何被用来收集您的数据并在幕后推动一个庞大的监视资本主义经济网络。以下是关于这一切是如何运作的。

什么是SDK,它如何跟踪您?

SDK本身并不是跟踪器,但它们是通过移动应用进行大部分跟踪的手段。简单地说,SDK是一个工具包,它可以帮助应用以某种方式发挥作用。苹果和安卓都提供了操作系统SDK,因此开发者可以为各自的设备构建应用,而第三方提供的SDK则允许开发者更便捷地快速为这些应用添加某些功能。

“过去十几年这种东西一直使用的名义是让人们尽可能轻松地开发应用程序”,卡内基梅隆大学移动商务实验室和电子供应链管理实验室主任 Norman Sadeh 告诉 Recode。

例如,如果开发者想让用户用他们的 Facebook 账户登录应用,他们就需要 Facebook 的 Login SDK。如果他们的应用需要地图或地图数据,他们可以使用 Google 的 Map SDK。如果没有SDK,开发者将不得不完全从头开始构建这些东西。这很耗时,而且可能超出了一个小开发者的能力或预算。

SDK还可以帮助应用程序通过所谓的应用程序编程接口API与第三方进行通信。再以 Facebook Login SDK 为例,它帮助开发者在应用中构建并实现登录功能,而API则允许该应用和 Facebook 相互通信,从而实现登录。

“你现在已经得到了所有这些第三方API和库,这些API和库已经被引入到这个生态系统中,无论是用于广告、连接到社交网络、还是用于分析目的,” Sadeh 说,“这个生态系统已经变得非常复杂,所有这些导致的数据流是非常多样化的,很令人担忧。”

有时,SDK会收集并将数据发回给提供SDK的第三方,这并不是应用功能的一部分。几个月前,Zoom的iOS移动应用就被发现通过其SDK向 Facebook 发送额外数据,Zoom表示这是无意的。许多其他应用也做了同样的事

这就是追踪监视渗入的地方。您的设备上的应用程序向第三方发送的数据可以用来建立应用程序的用户档案,然后广告商可以利用这些数据进行有针对性的广告。您很可能甚至不知道哪些数据正在离开您的设备,它如何被用来追踪您,或者它的去向究竟是哪里。

位置数据得到了最多的关注,因为它最具侵犯性(《你的手机知道一切,并且很愿意告诉警察:法律不保护你》),但还有很多其他方式被用来跟踪您或推断您是谁,以便向你投放广告。

公司希望把他们的SDK放在尽可能多的应用程序中,以便从尽可能多的人那里收集尽可能多的信息。即使是开发者也可能不知道(或不关心)他们的用户隐私何时以及如何被侵犯。

“比如我是一家初创公司,我正在快速引导一个应用程序 —— 我需要快速制作一些东西。我只需要捆绑了一堆SDK,编译应用程序,然后把它放到 App Store 上,就行了”,耶鲁隐私实验室的创始人和执行董事 Sean O’Brien 说,“而且作为一个开发人员,我可能甚至都不知道我自己的应用程序中有些什么。”

也有报道说SDK故意恶意抓取了比他们应该抓取的数据多得多的数据,并可能是在开发者不知情的情况下,当然也可能是在用户不知情的情况下。

O’Brien 建议开发者对自己的应用进行隐私审计,以避免这种情况的发生,但这并不总是开发者想要分配资源去做的事,就连 Zoom 这样的大公司也是如此。

应用生态

通过SDK进行跟踪在应用生态系统中已经根深蒂固。从这个角度来说,它与互联网类似。我们在网上所做的几乎所有事从一开始就已经被跟踪和货币化了(见 cookies)。因为应用在设备本身,而不是通过网站访问 —— 而且因为人们现在使用应用程序做很多不同的事,并且整天带着应用程序所在的设备,所以它们能够收集大量关于每个人的信息。

隐私权律师和技术专家 Whitney Merrill 表示:“SDK在某种程度上类似于 cookie 的移动形式,但功能更强大。”

开发者会在他们的应用中安装广告网络SDK,让他们为用户提供有针对性的广告,以及收集一些用户数据回传给广告网络。例如,Facebook 的广告SDK将根据 Facebook 对您的了解,在您设备上任何拥有SDK的应用中显示针对您的广告 —— 根据SDK和应用智能公司 MightySignal 的数据,数十万个应用都是如此。

根据 App Annie 的2020年移动广告现状报告,2019年,公司在移动广告上花费了1900亿美元。这些广告主要是定向广告,使用通过SDK以及其他来源收集的数据,并主要通过广告网络SDK发送给应用。

免费的应用(甚至有时也包括您付费的应用)通常只是因为它们从广告中赚了钱或提供了位置数据而存在。没有针对性的广告价值很低,而且要雇人为你的应用获取广告那需要花钱,而自动执行此操作的广告网络SDK则是免费的。

大多数生产这些SDK的公司都会说,他们收集的数据是无法识别个人身份的(通常这只是意味着它附加在设备ID上,而不是设备所有者的身份证上),用户要选择加入其收集,并且隐私政策会让用户了解他们的数据是如何被使用的。但是,这都是骗人的。隐私专家已经多次强调,去识别的数据往往可以被重新识别,永远不会有真正的匿名,特别是当数据经纪人从如此多的来源中拥有如此多的数据时。

Sadeh说:“他们拥有的关于我们每个人的数据量之大令人难以置信。数据经纪人基本肯定会重新整理所有这些数据,他们非常擅长干这个。”

X-Mode 和 Cuebiq 分别在300个和180个应用中有SDK,位置追踪选择率分别为55%~85%和20%~45%,他们都宣称 “隐私对他们来说很重要,也一直很重要,他们完全遵守隐私法,他们相信有一种方法可以在保护隐私的同时,还能对收集到的数据进行有价值的洞察”。

这只是继续骗人。

如何最大程度地减少对SDK跟踪对您的人权的伤害

多年来,应用商店和操作系统已经打击了一些这样的跟踪。他们允许用户选择哪些应用程序可以访问他们手机的某些部分,弥补那些允许应用程序在关闭GPS服务的情况下也能跟踪位置的漏洞,并创建了广告特定的设备标识符,以掩盖设备的实际标识符 —— 这一点无法改变,是数据公司和广告商在应用程序中跟踪人们的主要方式之一。

这就像打地鼠游戏:数据公司一直在寻找跟踪用户的新方法,而操作系统开发人员也在不断寻找停止或更好地控制该跟踪的方法。

如果您不想简单地相信位置数据公司、数据经纪人或广告公司将您的人权利益放在心上的话,您可以做一些事来防止您的信息被他们偷走。

苹果和安卓现在给设备所有者提供了限制广告跟踪的选项,所以您可以利用这点。您也可以限制 Facebook、Google 和 Twitter 等服务的广告追踪。

如果一个应用程序要求允许使用您的位置等设备功能,只有当它是您真正需要的东西时再去点 “同意”,并且只有在您真的要使用位置服务时再打开它。

请仔细阅读您下载的应用的隐私政策,尽可能了解他们是否在分享您的数据以及与谁分享,并尽可能选择不与位置数据分享 —— X-Mode 和 Cuebiq 都提供了直接进行分享的方法。大多数隐私专家都认为,不可能真正停止在这些设备上和通过其应用程序进行的跟踪,但至少应该尽可能减少跟踪

通过SDK跟踪的不确定的未来

直到几年前,人们在很大程度上还依靠这些公司来进行所谓的自我监管,他们中的大多数人都说自己 “做到了”。但是,他们的数据处理方式往往太不透明,无法确定是否属实,而过去的先例表明,这可能不是真的 —— 仅《纽约时报》就获得了各种敏感位置数据记录的访问权限,不是一次,而是两次。只有持续的外部的压力似乎才有了一点点改变。

在操作系统层面,苹果多年来已经制定了多项隐私和控制的改进措施,它宣布即将推出的iOS 14时就这么宣称的。在这些改进中应用程序将不得不告诉您他们想跟踪您的事实。并得到您的同意这样做;他们将不得不告诉用户他们收集了什么信息、使用什么跟踪器、以及如何识别用户身份。

但是,最基本的是您应该知道,苹果还必须权衡其 App Store 开发人员的需求(其商业模式取决于广告)与客户的需求之间的平衡,客户希望避免跟踪,并花最少的精力来防止这种情况。

“还有一个主流观点那就是认为如果你给人们太多的选择,他们就会产生通知疲劳”,Merrill 说。打开一个新安装的应用,不得不点击比如说20个不同的设备权限,这很可能不是用户想要的体验。

Merrill 补充道:“那将是一种可怕的体验,因为你会收到所有这些弹出式窗口,而你只会说,‘老子只想用一下那个该死的应用’。”

苹果告诉 Recode 称,它正在不断完善其操作系统,“以最大限度地减少离开用户设备并被发送到应用程序的用户数据,同时仍然可以实现功能,并且不强迫用户点击一堆权限弹出窗口”。

还有一些法律要求一定的披露和同意,当然似乎有制定更多法律的势头。除了欧盟的《一般数据保护条例》,还有加州的《消费者隐私法》。其他各州也纷纷效仿,提出了自己的数据隐私法,还有几个联邦版本正在出台。许多隐私专家认为,这样的立法如果做得好,是真正规范数据行业的唯一途径。位置数据公司的CEO们表示,他们对此表示欢迎。

O’Brien 也认为,移动广告追踪问题无法通过法律来解决,只能通过创造它的同一种东西来解决:金钱。

“我确实认为会有一点清算”,O’Brien说,“对于其中一些公司来说已经开始有了,尤其是当经济开始下滑,目标广告业务跌出谷底的时候 —— 这似乎确实在发生。现在撤出 Facebook 的公司并不只是因为他们对马克·扎克伯格不主持平台或允许特朗普做任何事而感到震惊,他们之所以这么做,是因为他们没有看到自己十年来为 Facebook 支付的广告费的回报。”

目前一些研究表明,定向广告对品牌的价值只比非定向广告略高一点,如果把失去用户信任、广告网络费用和符合隐私法的工具费用都考虑在内,甚至可能价值不高。

“传统上向 Googles 和 Facebook 等公司输送资金的公司,他们现在的地位非常不稳固”,O’Brien 说,“而他们只把大科技公司当作某种赌场,把钱扔进老虎机的能力,是不会持续太久的。”

话又说回来,去年 Twitter 的广告业务受到了影响,因为该公司表示,它不得不削减收集数据的数量(它 “不小心” 收集了太多的用户信息,即使用户明确要求公司不要收集),然后这些信息被用于定向广告。但这恰恰说明,新的法规和用户的隐私欲望确实对定向广告业务产生了影响 —— 而这又可能导致变革。

然而,目前,您的数据是广告商想要的,也是移动应用生态系统的设置所要提供的。如果通过SDK追踪器收集到的关于您的信息可以用来帮助阻止冠状病毒,那可能是您愿意做的交易;但是,如果它被用来跟踪监视抗议者和异议人士,那就不那么容易接受了。

在没有良好的法律可以规范如何收集和使用您的数据的情况下,您只需要坚持拒绝信任这些公司,并做好尽可能充分的自我保护。

  • 不要错过 《难以被追踪》系列,这里是您最基本应该做到的

⚪️

The hidden trackers in your phone, explainedThe hidden trackers in your phone, explained

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据