Heb je ooit deze ervaring gehad: je hebt de dag ervoor gewoon naar een paar Crocs gezocht op een sociale media-app en de volgende dag zag je een aanbeveling voor dit paar schoenen op een winkel-app die buiten bereik was...


Je begint in paniek te raken als je je herinnert of je dit paar schoenen in de tweede app hebt genoemd.

Nadat je hebt bevestigd dat zoiets niet bestaat, begin je te raden: "deze twee bedrijven moeten mijn gegevens in het geheim heen en weer hebben overgedragen", of "dat is alles, de telefoonmicrofoon luistert naar mij".

Hoewel de bovenstaande twee operaties nogal schandalig zijn, vooral het afluisteren van de microfoon, waardoor de geheimen gemakkelijk kunnen worden blootgelegd en de geheimen kunnen worden onthuld door de pakketten te pakken, maar als we nadenken over de ondergrens van internetbedrijven tegenwoordig, durft Shichao daar niet voor in te staan.

Maar waar ik het vandaag over wil hebben, is dat adverteerders eigenlijk een meer geheimzinnige en veiligere manier hebben om een ​​paar Crocs via de app naar je toe te sturen:

Het vereist alleen dat de app "uw telefoon" herkent.

Als een mobiele telefoon bijvoorbeeld in de A-software naar Crocs-schoenen zoekt, wordt de smaak vastgelegd in de naam van de machine.

Schakel over naar software B en herken hetzelfde apparaat opnieuw, en je kunt deze smaak blijven pushen. Het herkent de machine en hoeft uw naam of wie u bent niet te weten.

De vraag rijst dan: hoe registreren adverteerders deze informatie, en hoe glipt deze informatie naar buiten?

Onlangs ontdekte Shichao een app ontwikkeld door een beveiligingsteam: Loupe.

Het heeft maar één functie: gebruikers vertellen: hoeveel gegevens kan de mobiele app over u verkrijgen? Wat wordt zichtbaar voor elke extra toestemming die u "toestaat"?

Hoe dan ook, na het gebruik van deze app durfde Shichao echt niet willekeurig toestemming te geven. Het heeft mij echt een lesje geleerd.


Toen ik bijvoorbeeld voor het eerst lid werd van Loupe, kreeg ik geen rechten, maar kreeg ik een power-up.

het weet hetIk heb de regio van de telefoon ingesteld op Singapore en het toetsenbord gebruikt een combinatie van Chinees en Engels. De machine werd in september 2023 geactiveerd. Sinds die dag heb ik hem 29.034 keer gekopieerd. De laatste keer dat ik hem aanzette was 8 dagen, 3 uur en 44 minuten geleden.

Er werd zelfs een portret voor mij getekend. Wetende dat ik Steam en Discord had geïnstalleerd, oordeelde ik dat ik waarschijnlijk een gamer was. Ik zag ook dat ik GitHub en Slack had geïnstalleerd, dus ik vermoedde dat ik in de technologische industrie werk.


Het bovenstaande wordt alleen weergegeven aan de app-kant. Als u meer gedetailleerde rapporten bekijkt, zult u merken dat hij meer weet.

Ik weet bijvoorbeeld dat mijn iPhone 15 Pro nog 105G opslagruimte over heeft. Het bevindt zich momenteel in de donkere modus, de helderheid van het scherm is meer dan de helft, de batterij is 60% en de oplader is niet aangesloten. Het heeft dubbele simkaarten en dubbele stand-by, en beide simkaarten zijn in 5G. Ik weet zelfs hoe de telefoon gekanteld is en in welke richting hij op dit moment staat.


Je denkt misschien nog steeds: als deze stukjes en beetjes bekend zijn, kunnen ze ons dan lokaliseren?

Niet echt.

Maar gecombineerd worden ze het unieke kenmerk van deze iPhone: de vingerafdruk van het apparaat.Dit is voldoende voor adverteerders om uw iPhone te onderscheiden van andere telefoons.

Bovendien is dit de informatie die Loupe ziet op basis van de openbare API:

Als ik Loupe toegang geef tot fotoalbums, locatie, etc. zoals andere apps, welke informatie zal Loup dan weten?


Shichao probeerde toestemming te geven voor het fotoalbum.

Al snel vertelde Loupe me dat van de 1.119 video's en 9.371 foto's in mijn bibliotheek er 3.033 geografische locaties hadden, en vermeldde welke plaatsen ik het meest bezocht.


Kijk niet naar het feit dat de app alleen nauwkeurig is tot “Yuhang District”, dit is alleen voor het gemak van weergave via loep.

U moet weten dat de EXIF-informatie op de foto de lengte- en breedtegraad bevat die nauwkeurig zijn tot ongeveer tien meter. Een app kan grofweg raden in welke buurt ik woon en werk, door het aantal en het tijdstip van voorkomen van elke locatie te analyseren. En een klein provinciestadje in de 18e lijn dat af en toe opduikt tijdens vakanties, is zeer waarschijnlijk mijn geboorteplaats.

Shi Chao begrijpt het nu een beetje:Er zijn een aantal apps waarvoor ik duidelijk geen toestemming heb om ze te lokaliseren, maar ze kunnen altijd de omliggende activiteiten en roddels pushen. Zou het kunnen dat ik ze de toestemming voor het hele fotoalbum heb gegeven, alleen maar om problemen te voorkomen?

Shichao raadt aan dat u alle apps instelt om de systeemfotokiezer te gebruiken, die verschijnt zodat u een paar foto's kunt controleren op autorisatie. Op dit moment verzendt iOS de fotolocatie niet standaard naar de app.


Vergeet trouwens niet om op de pop-ups te klikken die u vragen of u voor “gemak” alle rechten wilt inschakelen.status quo handhaven.


Vervolgens opent Shichao een lokale netwerktoestemming voor Loupe om te zien wat het kan krijgen.

Eerlijk gezegd: wie zou twee keer nadenken over deze autoriteit? Is het niet gewoon een printer op een scherm aansluiten?

Maar nadat ik op Toestaan ​​had geklikt, werden alle computers van mijn collega's in het LAN, HP laserprinters en twee GreenLink NAS allemaal weergegeven.


Het is uiteraard redelijk dat deze toestemming alle omringende apparaten kan zien, anders zou het apparaat niet worden gevonden.

Het is gewoon dat ik het niet begrijp. Moet deze toestemming niet verschijnen als ik het scherm moet casten?

Waarom nemen zoveel apps contact met je op en vragen je om iets nadat je het net hebt geopend?


Shichao zal niet in detail treden over de volgende locatie-, Bluetooth- en agendarechten. U kunt de informatie op de schermafbeelding bekijken.

Kortom, elke keer dat u op "Toestaan" klikt, leert de app meer over u en wordt de vingerafdruk van uw apparaat duidelijker en diverser.


Dus hoe kent software B mijn vingerafdrukken en voorkeuren berekend in software A?

Het antwoord is adverteerders.

Veel apps bouwen geen eigen advertentiesystemen, maar maken verbinding met een kant-en-klare advertentie-SDK. De advertenties op het openingsscherm en de advertenties in de informatiestroom die u in de app ziet, worden allemaal door deze code van het advertentieplatform verkregen en vervolgens aan u getoond.

tegelijkertijd,SDKDe kenmerken van uw mobiele telefoon worden teruggestuurd naar het advertentieplatform.

Op deze manier zal het advertentieplatform reclame maken voor uw smaak in software A, en zullen software B, C en D er allemaal van op de hoogte zijn.


Normaal gesproken zou het niet zo lastig moeten zijn als de SDK uw telefoon wil herkennen.

Apple heeft oorspronkelijk een serieuze identificatiecode uitgegeven, genaamd IDFV, wat betekent dat "verschillende apps die eigendom zijn van hetzelfde bedrijf hetzelfde nummer delen." Installeer je dus meerdere apps van hetzelfde bedrijf, dan herkennen zij jou zonder enige moeite als dezelfde persoon.

Maar eenmaal tussen bedrijven is IDFV niet langer universeel en komt IDFA in beeld.IDFA heeft één nummer voor elke mobiele telefoon en is gemeenschappelijk voor alle apps. Het is speciaal ontworpen om de reclamewereld te helpen mensen in apps te identificeren.

Maar het probleem kwam opnieuw.

In 2021 lanceerde Apple App Tracking Transparency (ATT), waardoor de IDFA-switch weer in handen van gebruikers kwam. Als u de app wilt gebruiken, verschijnt er een pop-upvenster waarin u dit wordt gevraagd. Als u op "Verzoek om app om niet te volgen" klikt, wordt het account ter plekke gewist.


Uiteindelijk kunnen adverteerders dus alleen het heft in eigen handen nemen en deze device-fingerprinting-strategie gebruiken.

Wordt deze tactiek eigenlijk in het geheim door een app gebruikt?

Dat is echt zo.

Het ontwikkelteam van Loupe heet Mysk. Ze hebben eerder pakketten van Facebook, Instagram, Threads, Chrome en Spotify vastgelegd. Het bleek dat hoewel deze apps beloofden "Ik zal deze informatie lezen, maar deze zal nooit buiten worden gedeeld" in de privacylijst van Apple, ze in feite in het geheim de opstarttijd van de telefoon van de gebruiker stuurden.

Nee broeder, waarom wil je de computer aanzetten? Zou het kunnen dat de smaak unieker is dan de plastic zakken van Walmart en bewapende helikopters...

In feite is er maar één waarheid: het samenstellen van de vingerafdruk van het apparaat.


Soortgelijke dingen zijn gebeurd in het Android-kamp.

In 2025 publiceerde het onderzoeksteam van Google een paper waarin ze 180.000 Android-apps en 220.000 SDK’s doorzochten. Ze ontdekten dat 39,4% van de populaire apps in de App Store waren uitgerust met SDK's die apparaatvingerafdrukken verzamelen. Als de categorieën worden ingedeeld in dating- en strip-apps, stijgen de cijfers naar 82% en 88%.

Oké, dat is de inleiding tot deze app.

Momenteel is Loupe volledig gratis en open source. Ik denk dat iPhone-gebruikers het als volgende kunnen proberen (Android-gebruikers kunnen wachten).

Natuurlijk hoeft niet iedereen, na het geprobeerd te hebben, allemaal in oorlog te zijn.

Adverteerders willen immers raden waar je graag naar kijkt en wat je wilt kopen. Naast apparaatvingerafdrukken zijn er ook vergelijkbare groepen, het openen van accounts en samenwerkingsfilters. Er zijn veel manieren.

Ik denk dat de grootste rol van Loupe is dat je hiermee kunt weten welke gegevens je hebt en onder welke omstandigheden. Verbeter uw veiligheidsbewustzijn en wees voorzichtiger.