蘋果最近要求iOS開發人員提供使用特定一組API的理由,這些API可用於呼叫裝置指紋辨識。然而,據報導,蘋果似乎沒有花太多力氣來確保Google、Meta和Spotify遵守這些規定。裝置指紋辨識涉及收集有關裝置設置和元件的資訊,然後將這些資訊組合成一個唯一的辨識碼,該辨識碼可能用於根據人們的個人興趣和情況向他們投放廣告和其他客製化內容。
除了裝置指紋辨識技術以外,還存在其他形式的指紋辨識技術可以用來追蹤網路使用者,像是瀏覽器設置、HTML Canvas元素、WebGL、字體等。其中一些具有合法商業應用,例如機器人檢測。然而,數位指紋辨識也可用於侵犯隱私和線上追蹤人們。
蘋果現在要求APP開發人員提供使用任何指定的「必須使用API的理由」(可被用於裝置指紋辨識)的理由等資訊。從這些介面收集可能用於指紋辨識的資料必須保留在使用者的裝置上,這樣才能最大程度地確保隱私。如果APP未在其隱私清單文件中包註明使用這些API的原因,這些APP則將不會被接受上架到iOS App Store。
據開發人員塔拉勒·哈吉·巴克里(Talal Haj Bakry)和湯米·邁斯克(Tommy Mysk)稱,一些主要APP開發商無視蘋果的要求,並且在不遵守規則的情況下使用追蹤器API。他們聲稱,像Google、Meta和Spotify這樣的大型科技公司正在為這種API使用提供理由,收集這些資料,然後沒有遵守將這些資訊保留在使用者設備上的要求。
為了防止濫用這些API,蘋果將拒絕那些在其隱私權利聲明文件中沒有描述其使用API的APP。然而,巴克里和邁斯克發現像Google Chrome、Instagram、Spotify和Threads這樣的APP並沒有遵守他們申報的理由。
媒體詢問了Google、Meta和Spotify是否實際上正在使用這些用於iOS設備指紋辨識的「必須使用API的理由」並將這些資料傳輸到後端伺服器,但沒有收到回應。Google發言人證實他們正在調查該報告,但沒有立即做出回應。
蘋果已經發布了使用特定API的正當理由的列表,這些API可以提供有用於指紋識別的訊息。例如,iOS提供了一個名為systemUptime的API,可以查詢自設備上次重新開機以來的經過的時間。想要使用此API的開發人員可以選擇幾種允許的理由之一,必須在清單文件中聲明該理由。例如,Google選擇了35F9.1:
聲明此原因是為了存取系統啟動時間,以衡量APP內發生事件之間經過的時間或執行計算以啟用計時器。
出於此原因存取的資訊或任何衍生資訊都不得發送到設備之外。有一個例外,即有關APP內發生事件之間經過時間的資訊,可以發送到設備之外。
根據巴克里和邁斯克的網路資料分析,雖然蘋果的規則明確規定正常執行時間資料不能發送到設備之外,但Google Chrome似乎正在這樣做。該規則確實允許有一個例外情況,但這個例外情況不適用於Chrome。
邁斯克解釋說,Google可以選擇傳輸兩個事件之間的時間間隔,但不能傳輸絕對的設備正常運作的時間。
邁斯克認為,蘋果的「必須使用API的理由」就像其「應用程式隱私資訊摘要」一樣,形同虛設,因為似乎沒有任何強制執行措施。Mysk說,蘋果似乎沒有檢查描述是否準確。雖然使用者可以看到「應用程式隱私資訊摘要」,但「必須使用API的理由」卻看不到。因此,如果不檢查開發人員提交的理由,蘋果如何防止指紋辨識和增強使用者隱私權利還不明確。
蘋果對此還沒有回應。
資料來源:
Google, Meta, Spotify break Apple’s device fingerprinting rules
Share this content:
