Haben Sie schon einmal folgendes Erlebnis gehabt: Sie haben gerade am Tag zuvor in einer Social-Media-App nach einem Paar Crocs gesucht und am nächsten Tag in einer unerreichbaren Shopping-App eine Empfehlung für dieses Paar Schuhe gesehen ...


Sie geraten in Panik, wenn Sie sich daran erinnern, ob Sie dieses Paar Schuhe in der zweiten App erwähnt haben.

Nachdem Sie bestätigt haben, dass es so etwas nicht gibt, beginnen Sie zu raten: Entweder „diese beiden Unternehmen müssen meine Daten heimlich hin und her übertragen haben“ oder „Das ist es, das Telefonmikrofon belauscht mich“.

Obwohl die beiden oben genannten Vorgänge ziemlich empörend sind, insbesondere das Abhören von Mikrofonen, das durch das Ergreifen von Paketen leicht Geheimnisse preisgeben und Geheimnisse aufdecken kann, wagt Shichao nicht, für sie zu bürgen, wenn man an die Untergrenze heutiger Internetunternehmen denkt.

Aber worüber ich heute sprechen möchte, ist, dass Werbetreibende tatsächlich eine geheimere und sicherere Möglichkeit haben, Ihnen ein Paar Crocs über die App zuzuschieben:

Es ist lediglich erforderlich, dass die App „Ihr Telefon“ erkennt.

Wenn beispielsweise ein Mobiltelefon in der A-Software nach Crocs-Schuhen sucht, wird die Geschmacksrichtung im Namen der Maschine erfasst.

Wechseln Sie zu Software B und erkennen Sie dasselbe Gerät erneut, und Sie können diese Variante weiter vorantreiben. Es erkennt die Maschine und muss weder Ihren Namen noch Ihre Identität kennen.

Es stellt sich dann die Frage, wie Werbetreibende diese Informationen aufzeichnen und wie diese Informationen nach außen gelangen.

Kürzlich entdeckte Shichao eine von einem Sicherheitsteam entwickelte App: Loupe.

Es hat nur eine Funktion, nämlich den Benutzern mitzuteilen: Wie viele Daten kann die mobile App über Sie erhalten? Was wird für jede zusätzliche Berechtigung angezeigt, die Sie „erlauben“?

Wie dem auch sei, nachdem Shichao diese App verwendet hatte, wagte er es wirklich nicht, wahllos Berechtigungen zu erteilen. Es hat mir wirklich eine Lektion erteilt.


Als ich zum Beispiel Loupe zum ersten Mal beitrat, erhielt ich keine Berechtigungen, dafür aber ein Power-Up.

es weißIch habe die Region des Telefons auf Singapur eingestellt und die Tastatur verwendet eine Mischung aus Chinesisch und Englisch. Die Maschine wurde im September 2023 aktiviert. Seit diesem Tag habe ich sie 29.034 Mal kopiert. Das letzte Mal habe ich es vor 8 Tagen, 3 Stunden und 44 Minuten eingeschaltet.

Es hat sogar ein Porträt für mich gezeichnet. Da ich wusste, dass ich Steam und Discord installiert hatte, kam ich zu dem Schluss, dass ich wahrscheinlich ein Gamer war, und als ich sah, dass ich GitHub und Slack installiert hatte, spekulierte ich, dass ich in der Technologiebranche arbeite.


Das Obige wird nur auf der App-Seite angezeigt. Wenn Sie sich detailliertere Berichte ansehen, werden Sie feststellen, dass es mehr weiß.

Ich weiß zum Beispiel, dass auf meinem iPhone 15 Pro noch 105 GB Speicherplatz übrig sind. Es befindet sich derzeit im Dunkelmodus, die Bildschirmhelligkeit beträgt mehr als die Hälfte, der Akku ist bei 60 % und das Ladegerät ist nicht angeschlossen. Es verfügt über zwei SIM-Karten und Dual-Standby, und beide SIM-Karten sind in 5G. Ich weiß sogar, wie das Telefon geneigt ist und in welche Richtung es gerade zeigt.


Sie denken vielleicht immer noch: Können sie uns lokalisieren, wenn diese Kleinigkeiten bekannt sind?

Nicht wirklich.

Aber zusammen werden sie zum einzigartigen Merkmal dieses iPhones, nämlich dem Geräte-Fingerabdruck.Dies reicht für Werbetreibende aus, um Ihr iPhone von anderen Telefonen zu unterscheiden.

Außerdem sind dies die Informationen, die Loupe basierend auf der öffentlichen API sieht:

Welche Informationen werden Loupe kennen, wenn ich wie anderen Apps Zugriff auf Fotoalben, Standorte usw. gebe?


Shichao versuchte, die Genehmigung für das Fotoalbum zu erteilen.

Bald darauf erzählte mir Loupe, dass von den 1.119 Videos und 9.371 Bildern in meiner Bibliothek 3.033 einen geografischen Standort hatten, und listete auf, welche Orte ich am häufigsten besuchte.


Achten Sie nicht darauf, dass die App nur auf „Yuhang District“ genau ist, dies dient nur der Bequemlichkeit der Anzeige per Lupe.

Sie müssen wissen, dass die EXIF-Informationen im Foto Längen- und Breitengrade mit einer Genauigkeit von etwa zehn Metern enthalten. Eine App kann die Nachbarschaft, in der ich wohne und arbeite, grob erraten, indem sie die Häufigkeit und den Zeitpunkt des Auftretens jedes Standorts analysiert. Und eine kleine Kreisstadt an der 18. Linie, die in den Ferien gelegentlich auftaucht, ist mit hoher Wahrscheinlichkeit meine Heimatstadt.

Shi Chao versteht jetzt ein wenig:Es gibt einige Apps, für deren Suche ich offensichtlich keine Berechtigung habe, aber sie können immer die umliegenden Aktivitäten und Klatsch verbreiten. Könnte es sein, dass ich ihnen die Erlaubnis für das gesamte Fotoalbum gegeben habe, nur um Ärger zu vermeiden?

Shichao empfiehlt, dass Sie alle Apps so einstellen, dass sie die Systembildauswahl verwenden, die sich öffnet, damit Sie einige Fotos auf Autorisierung prüfen können. Derzeit sendet iOS den Fotostandort standardmäßig nicht an die App.


Denken Sie übrigens daran, auf die Pop-ups zu klicken, in denen Sie gefragt werden, ob Sie aus „Bequemlichkeitsgründen“ alle Berechtigungen aktivieren möchten.den Status Quo beibehalten.


Als nächstes öffnet Shichao eine lokale Netzwerkberechtigung für Loupe, um zu sehen, was es bekommen kann.

Mal ehrlich: Wer würde über diese Autorität zweimal nachdenken? Ist es nicht einfach, einen Drucker an einen Bildschirm anzuschließen?

Aber nachdem ich auf „Zulassen“ geklickt hatte, wurden alle Computer meiner Kollegen im LAN, HP-Laserdrucker und zwei GreenLink NAS angezeigt.


Natürlich ist es sinnvoll, dass diese Berechtigung alle umliegenden Geräte sehen kann, andernfalls würde das Gerät nicht gefunden werden.

Es ist nur so, dass ich es nicht verstehe. Sollte diese Berechtigung nicht angezeigt werden, wenn ich den Bildschirm übertragen muss?

Warum kontaktieren Sie so viele Apps und bitten Sie um etwas, nachdem Sie es einfach geöffnet haben?


Auf den folgenden Standort, Bluetooth und Kalenderberechtigungen geht Shichao nicht näher ein. Sie können sich die Informationen auf dem Screenshot ansehen.

Kurz gesagt: Jedes Mal, wenn Sie auf „Zulassen“ klicken, erfährt die App mehr über Sie und der Fingerabdruck Ihres Geräts wird klarer und vielfältiger.


Woher kennt Software B meine in Software A berechneten Fingerabdrücke und Präferenzen?

Die Antwort sind Werbetreibende.

Viele Apps bauen keine eigenen Werbesysteme auf, sondern verbinden sich stattdessen mit einem vorgefertigten Werbe-SDK. Die Werbung auf dem Eröffnungsbildschirm und die Werbung im Informationsfluss, die Sie in der App sehen, werden alle durch diesen Code von der Werbeplattform abgerufen und Ihnen dann angezeigt.

gleichzeitig,SDKDie Eigenschaften Ihres Mobiltelefons werden an die Werbeplattform zurückübermittelt.

Auf diese Weise bewirbt die Werbeplattform Ihren Geschmack für Software A, und Software B, C und D werden alle davon erfahren.


Wenn das SDK Ihr Telefon erkennen möchte, sollte dies normalerweise nicht so problematisch sein.

Apple hat ursprünglich einen seriösen Identifikationscode namens IDFV herausgegeben, der bedeutet: „Mehrere Apps desselben Unternehmens haben dieselbe Nummer.“ Wenn Sie also mehrere Apps desselben Unternehmens installieren, werden diese Sie ohne großen Aufwand als dieselbe Person erkennen.

Aber wenn man einmal unternehmensübergreifend ist, ist IDFV nicht mehr universell und IDFA kommt ins Spiel.IDFA hat eine Nummer für jedes Mobiltelefon und ist für alle Apps gleich. Es wurde speziell entwickelt, um dem Werbekreis dabei zu helfen, Personen über Apps hinweg zu identifizieren.

Aber das Problem kam wieder.

Im Jahr 2021 führte Apple App Tracking Transparency (ATT) ein und legte damit den IDFA-Schalter wieder in die Hände der Benutzer. Wenn Sie die App nutzen möchten, wird ein Popup-Fenster angezeigt, in dem Sie gefragt werden. Wenn Sie auf „Anfrage, App nicht zu verfolgen“ klicken, wird das Konto sofort gelöscht.


Letztlich können Werbetreibende also nur die Sache selbst in die Hand nehmen und diese Geräte-Fingerprinting-Strategie nutzen.

Wird diese Taktik also tatsächlich heimlich von einer App angewendet?

Das gibt es wirklich.

Das Entwicklerteam von Loupe heißt Mysk. Sie haben zuvor Pakete von Facebook, Instagram, Threads, Chrome und Spotify erfasst. Es stellte sich heraus, dass diese Apps zwar in der Datenschutzliste von Apple versprachen: „Ich werde diese Informationen lesen, aber sie werden niemals an Dritte weitergegeben“, tatsächlich jedoch heimlich die Startzeit des Telefons des Benutzers übermittelten.

Nein, Bruder, warum willst du den Computer einschalten? Könnte es sein, dass der Geschmack einzigartiger ist als Walmart-Plastiktüten und bewaffnete Hubschrauber ...

Tatsächlich gibt es nur eine Wahrheit: den Fingerabdruck des Geräts zusammenzusetzen.


Ähnliches ist im Android-Lager passiert.

Im Jahr 2025 veröffentlichte das Google-Forschungsteam einen Artikel, in dem es 180.000 Android-Apps und 220.000 SDKs durchsuchte. Sie fanden heraus, dass 39,4 % der beliebten Apps im App Store mit SDKs ausgestattet waren, die Gerätefingerabdrücke sammeln. Unterteilt man die Kategorien in Dating- und Comic-Apps, steigen die Zahlen auf 82 % und 88 %.

OK, das ist die Einführung in diese App.

Derzeit ist Loupe völlig kostenlos und Open Source. Ich denke, iPhone-Benutzer können es als nächstes ausprobieren (Android-Benutzer können warten).

Natürlich müssen nicht alle, nachdem sie es ausprobiert haben, völlig unruhig sein.

Schließlich möchten Werbetreibende erraten, was Sie gerne sehen und was Sie kaufen möchten. Neben Gerätefingerabdrücken gibt es auch ähnliche Gruppen, Kontoeröffnungen und kollaboratives Filtern. Es gibt viele Möglichkeiten.

Ich denke, die größte Rolle von Loupe besteht darin, dass Sie wissen, welche Daten unter welchen Umständen offengelegt werden. Verbessern Sie Ihr Sicherheitsbewusstsein und seien Sie vorsichtiger.