手機上透過廣告流失的隱私

九月份 iPhone 與 iPad 一千兩百萬用戶個資外洩; 十月份蘋果 iOS 6 推出的新版廣告追蹤機制有誤導用戶之嫌; android 上如何取消廣告追蹤?

上個月, 由 Anonymous 跟 LulzSec 所組成的團體 AntiSec 宣稱: 他們在三月份入侵 FBI 探員 Christopher Stangl 的電腦, 取得 1200 萬筆 iPhone 和 iPad 用戶的個人資料。 更多報導請搜尋 「fbi udid」 或 「apple udid」。 iThome 有中文報導

AntiSec 去除大部分的隱私欄位之後, 將其中一百萬零一筆 公佈上網。 公佈的資料並不含用戶姓名欄位; 但很多人用自己的名字替 iPhone/iPad 命名。 想知道你或朋友的個資有沒有落在被公佈一百萬筆資料裡嗎? 如果嫌解壓縮的步驟太複雜, 也可以到 TheNextWeb 查詢。

根據 cnet 報導, 外洩資料裡面的用戶不只來自美國, 也包含英國、 波蘭、 德國等等國家。 在檔案裡面可以看到許多正簡中文名字; 但用幾位臺灣朋友的名字下去查, 並沒有中獎。 不過別忘記: 公佈的也只是 8% 左右的資料而已。

FBI 跟蘋果電腦都否認 AntiSec 「蘋果將資料交給 FBI」 的說法。 一方面, 看來並沒有更多直接證據指向蘋果與 FBI 真如 AntiSec 所說的參與個資蒐集交換; 但另一方面, 富比士的報導指出: 蘋果有能力依據其中的 Push Notification Service 找出洩漏個資的 app 開發者。 (但蘋果卻保持沈默, 不回應外界詢問。) 網友分析資料當中重複出現的部分, 發現一家 app 開發商 BlueToad 及其員工所擁有的裝置出現的次數極為頻繁, 而 BlueToad 也出面道歉承認資料是從他們那邊被駭而外洩出去的, 但是並沒有進一步交代細節。

iOS 6 上如何取消廣告追蹤?
在 general 而不是在 privacy 選項裡面有一個 about 選項?!iOS 6 上如何取消廣告追蹤?
在 advertizing 裡面要把 limit ad tracking 改成 on

以上是九月份的舊聞了。 在這個事件當中, 蘋果電腦有可能也只是一個受害者而已。 不過在這星期的新聞當中, 蘋果可就得向用戶好好交代一下了。 在新的 iOS 6 當中, 蘋果悄悄地推出了 UDID 的替代方案: IDFA。 這也是一個追蹤機制, 方便廣告商分析你的使用記錄、 推出客製化的廣告給你。 這件事本身並不特別邪惡 -- 任何靠廣告過日子的廠商都必須有某種追蹤機制。 較諸先前的 UDID, 新的 IDFA 甚至還允許在意隱私的用戶關閉追蹤, 從消費者權益的角度來看, 的確是一大進步。 令人不敢恭維的是: 蘋果刻意把關閉追蹤的功能放錯選單、 又玩文字遊戲, 讓該選項的 「開」 表示禁止廣告商追蹤、 「關」 表示接受客製廣告。 詳見 12 3 (上圖來源)

android 上如何取消廣告追蹤?
在 settings 裡面把 interest-based ads 改成 off 對照之下, 比蘋果更靠廣告維生的 google 就 光明正大 多了: google 一方面將用戶的 UDID 先 hash 過才上傳, 也就是說, 就算資料外洩, 也不太可能反向查出 UDID, 另一方面又在所有參與 AdSense 或 AdMob 的 apps 的 「settings」 裡面明白標示目前是否接受 「interest-based ads」 (右圖來源)。 如 Search Engine Land 那篇文章所說的, google 甚至利用自家的 AdSense/AdMob 打廣告, 向消費者解釋這些保護隱私的機制。

當然, google 的善意, 並不是 android 手機隱私的萬全保證。 德國兩大學分析千餘個 android apps 發現: 有 15% 左右的 apps, 其 https 實作不太安全或很不安全。 總之, 智慧手機年代, 想要保護自己的隱私, 消費者必須隨時很有意識地選擇尊重隱私、 技術能力足夠的公司/產品/apps。

* * * * *

手邊沒電腦; 口頭推薦本文嗎? 可以請您的朋友搜尋 「」 或 「」。

(為了服務被 "牆" 的讀者, 本文映射自 資訊人權貴ㄓ疑; 也請見 更多文章清單。 若貴政府/公司並未封鎖 google blogspot, 建議到原始部落格網頁使用標籤、 留言等等更豐富方便的機制。)