为什么你刚搜的东西，其他App转头就知道了？

你是否经历过这样的情况：前一天在某个社交平台搜索了某款洞洞鞋，第二天却在毫无关联的购物应用中看到了同款鞋的推荐。

你会开始疑惑，是否在其他应用中也曾提及过这款鞋。在确认没有之后，你可能会猜想，是不是这些公司暗中共享了你的数据，或者手机的麦克风一直在监听你的对话。虽然这些猜测，尤其是麦克风监听，很容易被发现，但考虑到当下互联网公司的行为，也不能完全排除。

实际上，广告商们可能还有一种更隐蔽且安全的方式，让你在不同应用中看到同一款商品：只需要应用能够识别出“你的设备”即可。

例如，一台设备在一款应用中搜索了洞洞鞋，系统就会记录下这个偏好。当这台设备切换到另一款应用时，如果应用识别出是同一台设备，便可以继续推送相关的偏好信息。这种识别是基于设备本身，而无需知道用户的具体身份。

那么，广告商是如何收集这些信息，又是如何实现跨应用传播的呢？

最近，一个名为 Loupe 的安全应用引起了关注。这款应用的功能是帮助用户了解他们的手机应用能够获取多少数据，以及授予的每个权限会暴露哪些信息。

使用 Loupe 后，你会对随意授予应用权限产生警惕。即使不授予任何权限，Loupe 也能显示出一些信息，例如你的手机地区设置（如新加坡）、输入法语言组合、设备激活时间（如23年9月），以及自激活以来的复制次数（如29034次），甚至上次开机时间（如8天3小时44分钟前）。

此外，它还能根据你安装的应用（如Steam、Discord、GitHub、Slack）推测你的兴趣和职业。

以上信息仅是应用界面显示的部分，更详细的报告会揭示更多。例如，它能获知你的iPhone 15 Pro剩余存储空间（105GB），当前是否处于深色模式，屏幕亮度（一半多），电量（60%），是否连接充电器，双卡状态（均处于5G），甚至手机的倾斜角度和朝向。

你可能会认为这些零散的信息不足以识别你。确实，它们本身无法定位到你。

然而，当这些信息组合在一起时，就构成了你iPhone独一无二的“设备指纹”，足以让广告商在众多设备中识别出你的手机。而且，这些信息仅仅是基于Loupe通过公开API获取的。

如果像其他应用一样，授予Loupe访问相册、定位等权限，它能获取的信息会更多。

例如，授予相册权限后，Loupe可以显示你相册中的视频（1119段）和图片（9371张），其中包含地理位置信息的图片有3033张，并列出你常去的地点。

虽然Loupe可能仅显示“余杭区”这样的区域，但这只是为了方便展示。照片中的EXIF信息包含精确到十米左右的经纬度。通过分析不同地点出现的频率和时间，应用可以推测出你的居住地、工作地点，甚至老家所在地。

这也许能解释，为什么有些应用即使没有获得定位权限，却能推送周边活动和信息，很可能是因为你授予了它们访问整个相册的权限。

建议大家将所有应用设置为使用系统照片选择器，这样在选择照片时，iOS会默认不向应用发送照片的定位信息。

另外，对于那些为了“方便”而请求开启全部权限的弹窗，请选择“保持现状”。

接下来，尝试授予Loupe本地网络权限。这个权限通常被认为只是用于连接打印机或投屏。但授予后，Loupe可以显示局域网内的所有同事电脑、HP激光打印机以及两台绿联NAS。

虽然看到局域网内设备是该权限的合理功能，但令人不解的是，为何很多应用在被简单打开后，就会主动索要此权限，而非在你实际需要投屏时才弹出请求。

至于位置、蓝牙、日历等权限，授予的越多，应用对你的了解越深入，你的设备指纹也就越清晰。

那么，你在一个应用中形成的设备指纹和偏好，是如何被另一个应用得知的呢？

答案在于广告商。许多应用不自行开发广告系统，而是接入现成的广告SDK。你在应用内看到的广告，都是通过这些SDK从广告平台获取并展示的。

同时，SDK会将你设备的特征信息回传给广告平台。这样，你在一个应用中留下的偏好信息，就可以被广告平台分享给其他应用。

理论上，SDK识别设备并不需要如此复杂。苹果曾提供IDFV（同一公司旗下应用共享识别码），方便同一公司应用识别用户。但跨公司识别时，IDFA（广告标识符）应运而生，它为每个设备提供一个通用识别码，便于广告行业跨应用追踪用户。

然而，2021年苹果推出的App跟踪透明度（ATT）框架，将IDFA的使用权交给了用户。应用必须先征得用户同意才能进行跟踪，否则IDFA将被清零。

因此，广告商不得不依赖设备指纹这一策略。那么，是否有应用在实际使用这种策略？

Loupe的开发者Mysk团队曾发现Facebook、Instagram、Threads、Chrome、Spotify等应用，虽然在苹果隐私清单中承诺不外传某些信息，但却偷偷将用户设备的开机时间发送出去。这被认为是拼凑设备指纹的一种方式。

类似的情况在安卓平台也存在。2025年谷歌的一项研究发现，在18万个安卓应用和22万个SDK中，有39.4%的热门应用包含收集设备指纹的SDK，而在交友和漫画类应用中，这一比例分别高达82%和88%。

Loupe目前完全免费且开源，iPhone用户可以尝试下载使用（安卓用户可能需要等待）。

了解这些信息后，不必过度担忧。广告商除了设备指纹，还有相似人群画像、账号打通、协同过滤等多种方式来分析用户偏好。Loupe的主要价值在于，它能让你清楚了解哪些数据正在被暴露，以及暴露的途径，从而提高个人数据安全意识，并更加谨慎地管理应用权限。

Blogs