淺談IOS開(kāi)發(fā)體系下用戶(hù)身份標(biāo)識(shí)符調(diào)用的安全問(wèn)題及對(duì)策建議

◆宋敏晶 羅漢忠

（國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心福建分中心 福建 350025）

在IOS開(kāi)發(fā)體系下，蘋(píng)果為開(kāi)發(fā)者提供了一系列的用戶(hù)身份標(biāo)識(shí)符，其中最常用的是IDFA（Identifier for Advertising，廣告標(biāo)識(shí)符），這些標(biāo)識(shí)符可以方便開(kāi)發(fā)者開(kāi)展廣告推廣以及跨應(yīng)用的用戶(hù)追蹤等，互聯(lián)網(wǎng)應(yīng)用可以通過(guò)IDFA 開(kāi)展精準(zhǔn)廣告投放。近期，蘋(píng)果公司出于對(duì)用戶(hù)隱私保護(hù)的考慮，對(duì)開(kāi)發(fā)者獲取IDFA 標(biāo)識(shí)進(jìn)行了限制，將極大地影響國(guó)內(nèi)外數(shù)字廣告的投放效果，不少境內(nèi)外數(shù)據(jù)服務(wù)商因此又推出了用戶(hù)身份標(biāo)識(shí)符的替代方案。本文將跟蹤研究IOS 體系下用戶(hù)身份標(biāo)識(shí)符的機(jī)制原理，以及境內(nèi)數(shù)據(jù)服務(wù)商對(duì)于IDFA 的替代方案，對(duì)目前互聯(lián)網(wǎng)企業(yè)及數(shù)據(jù)服務(wù)商利用標(biāo)識(shí)符采集用戶(hù)信息開(kāi)展精準(zhǔn)營(yíng)銷(xiāo)的行為，進(jìn)行信息安全風(fēng)險(xiǎn)分析并提出監(jiān)管建議。

1 IOS開(kāi)發(fā)體系下用戶(hù)身份標(biāo)識(shí)符調(diào)用的安全現(xiàn)狀

目前大部分APP、移動(dòng)廣告平臺(tái)都會(huì)采集各種廣告標(biāo)識(shí)符或設(shè)備識(shí)別碼，以此作為用戶(hù)的身份標(biāo)識(shí)符來(lái)實(shí)現(xiàn)精準(zhǔn)營(yíng)銷(xiāo)，容易造成用戶(hù)個(gè)人信息的泄露。

本文主要從IOS開(kāi)發(fā)體系下用戶(hù)信息采集常用的身份標(biāo)識(shí)符總結(jié)、主流IOS 應(yīng)用身份標(biāo)識(shí)符測(cè)試以及IOS 體系下IDFA 替代方案調(diào)研這三個(gè)方面對(duì)IOS開(kāi)發(fā)體系下用戶(hù)身份信息采集的安全現(xiàn)狀進(jìn)行總結(jié)。

1.1 IOS開(kāi)發(fā)體系下用戶(hù)信息采集常用的身份標(biāo)識(shí)符總結(jié)

IOS 系統(tǒng)至今提供了多種身份標(biāo)識(shí)符，如下為多年以來(lái)IOS 體系下常用的身份標(biāo)識(shí)符。

表1 IOS 體系下身份標(biāo)識(shí)符匯總

該應(yīng)用程序的時(shí)候一直保持不變MAC 地址MAC 地址由網(wǎng)卡決定，用來(lái)定義網(wǎng)絡(luò)設(shè)備的位置，一個(gè)主機(jī)有一個(gè)MAC 地址2013年9月隨著IOS7 的發(fā)布被禁用OpenUDID不是蘋(píng)果官方提供的，是一個(gè)替代UDID 的第三方解決方案，用戶(hù)如果將帶有OpenUDID SDK 包的APP全部刪除的話，OpenUDID將重新生成目前部分廣告渠道的點(diǎn)擊接口依然 支 持 使 用OpenUDID 作為用戶(hù)標(biāo)識(shí)IDFA 適用于廣告推廣，跨應(yīng)用用戶(hù)追蹤2012年9月發(fā)布，至今已經(jīng)成為通用標(biāo)識(shí)符IDFV1來(lái)自同一個(gè)開(kāi)發(fā)者的應(yīng)用運(yùn)行在同一個(gè)設(shè)備上，此屬性的值是相同的；不同的開(kāi)發(fā)者應(yīng)用運(yùn)行在同一個(gè)設(shè)備上的值不同目前可用，經(jīng)常和IDFA 一起配合使用

隨著蘋(píng)果公司2012年9月發(fā)布IDFA，至今該標(biāo)識(shí)符已經(jīng)成為IOS開(kāi)發(fā)體系下較為通用的標(biāo)識(shí)符，是在IOS 系統(tǒng)上與設(shè)備對(duì)應(yīng)的一個(gè)唯一ID。這是個(gè)專(zhuān)門(mén)為投放廣告而提供的ID，在數(shù)字廣告中，IDFA的作用場(chǎng)景主要有三個(gè)：

（1）效果歸因

數(shù)字廣告投放的關(guān)鍵步驟在于弄清廣告主的轉(zhuǎn)化來(lái)源渠道，例如用戶(hù)點(diǎn)擊廣告時(shí)，媒體會(huì)向歸因的監(jiān)測(cè)平臺(tái)發(fā)送一條消息，告訴平臺(tái)用戶(hù)A 點(diǎn)擊了某客戶(hù)的廣告；當(dāng)用戶(hù)A 下載了該客戶(hù)的應(yīng)用時(shí)，也向監(jiān)測(cè)平臺(tái)上報(bào)，A 下載了該應(yīng)用；監(jiān)測(cè)平臺(tái)把兩邊的A 一對(duì)照，就知道這次轉(zhuǎn)化是哪個(gè)媒體帶來(lái)的了。這里的用戶(hù)A 的ID，必須是個(gè)跨應(yīng)用的通用ID，在IOS 系統(tǒng)中，主要用的就是IDFA。

（2）用戶(hù)畫(huà)像

要把雜亂的用戶(hù)行為加工成用戶(hù)畫(huà)像，先要有一個(gè)統(tǒng)一的ID，把這些行為串在一起。因此，具備唯一性和連續(xù)性的用戶(hù)ID，對(duì)用戶(hù)畫(huà)像的質(zhì)量至關(guān)重要。

（3）程序化交易

用戶(hù)訪問(wèn)媒體時(shí)，媒體通過(guò)ADX（Ad Exchange，廣告交易平臺(tái)）實(shí)時(shí)向各個(gè)DSP（Demand Side Platform，需求方平臺(tái)）發(fā)送詢(xún)價(jià)請(qǐng)求，各個(gè)DSP 接收到請(qǐng)求后，判斷該用戶(hù)是否對(duì)自己感興趣，如果感興趣，則參與本次競(jìng)價(jià)，此過(guò)程也需要有個(gè)公共的用戶(hù)ID。

1.2 主流IOS 應(yīng)用身份標(biāo)識(shí)符采集情況測(cè)試

目前國(guó)內(nèi)的騰訊、字節(jié)跳動(dòng)及訊飛這三家企業(yè)移動(dòng)互聯(lián)網(wǎng)廣告平臺(tái)都是基于自身的資源來(lái)提供廣告投放業(yè)務(wù)的，本文主要通過(guò)對(duì)騰訊、頭條及訊飛旗下多款應(yīng)用的抓包解析，對(duì)這些應(yīng)用啟動(dòng)時(shí)通信過(guò)程中獲取到的身份標(biāo)識(shí)符進(jìn)行比對(duì)分析，整理出這些應(yīng)用IOS 版采集身份標(biāo)識(shí)符的規(guī)律。

表2 主流IOS 應(yīng)用身份標(biāo)識(shí)符采集情況測(cè)試

抖音 vid device_id openudid idfa多閃 vid device_id openudid idfa idfv訊飛輸入法 idfa imei mac sign

從測(cè)試結(jié)果可以發(fā)現(xiàn)，基于IOS 開(kāi)發(fā)的特點(diǎn)，騰訊新聞、今日頭條、抖音、多閃、訊飛輸入法這些應(yīng)用在同一臺(tái)蘋(píng)果手機(jī)上啟動(dòng)時(shí)被企業(yè)調(diào)用的IDFA 是統(tǒng)一的，因此IDFA 可以實(shí)現(xiàn)IOS 體系下跨應(yīng)用的用戶(hù)追蹤。

此外，互聯(lián)網(wǎng)企業(yè)對(duì)自己體系下的應(yīng)用還可能會(huì)設(shè)置自有身份標(biāo)識(shí)符，例如今日頭條、抖音、多閃都屬于頭條系旗下應(yīng)用，抓包時(shí)發(fā)現(xiàn)這些應(yīng)用都被另外設(shè)置了device_id、openudid，這很有可能是字節(jié)跳動(dòng)廣告體系下具有的用戶(hù)身份標(biāo)識(shí)符。

1.3 IOS 體系下IDFA 替代方案調(diào)研

2020年12月，蘋(píng)果在iOS 14.4 的第一個(gè)測(cè)試版中要求開(kāi)發(fā)者提供隱私使用提醒，同時(shí)強(qiáng)制開(kāi)發(fā)者只有獲得用戶(hù)同意后，才能獲取到廣告標(biāo)識(shí)。蘋(píng)果公司的該舉措將極大地限制開(kāi)發(fā)者獲取IDFA，給開(kāi)發(fā)者投放廣告的能力帶來(lái)巨大影響。為此，蘋(píng)果和國(guó)內(nèi)外其他數(shù)據(jù)服務(wù)商提供了IDFA 的替代方案。

（1）蘋(píng)果公司提供的IDFA 替代方案

蘋(píng)果公司在 2018年準(zhǔn)備了一個(gè) IDFA 的替代方案——SKAdNetWork。它可以讓廣告平臺(tái)在不獲取IDFA 的前提下對(duì)用戶(hù)的點(diǎn)擊和安裝行為提供追蹤。這個(gè)層面的追蹤所用的簽名，直接內(nèi)嵌在了廣告平臺(tái)和App Store 之間，用來(lái)記錄廣告效果，但是SKAdnetwork 相比于IDFA 的缺點(diǎn)是無(wú)法實(shí)現(xiàn)精準(zhǔn)投放、不能用作用戶(hù)畫(huà)像、無(wú)法實(shí)現(xiàn)非APP 下載類(lèi)的廣告歸因等。

（2）國(guó)內(nèi)外數(shù)據(jù)服務(wù)商提供的IDFA 替代方案

國(guó)內(nèi)外不少數(shù)據(jù)服務(wù)商為了避免無(wú)法獲取到IDFA 而影響廣告投放效果，也提出了IDFA 的替代方案，具體如下表3所示。

表3 IDFA 替代方案

2 IOS開(kāi)發(fā)體系下用戶(hù)身份標(biāo)識(shí)符調(diào)用的安全問(wèn)題分析

根據(jù)上面對(duì)IOS開(kāi)發(fā)體系下用戶(hù)身份標(biāo)識(shí)符機(jī)制原理的調(diào)研以及對(duì)幾款主流IOS 應(yīng)用身份標(biāo)識(shí)符采集情況的測(cè)試，本文認(rèn)為對(duì)于IOS開(kāi)發(fā)體系下用戶(hù)身份標(biāo)識(shí)符調(diào)用存在如下信息安全問(wèn)題。

2.1 容易造成用戶(hù)身份匿名化失效

目前《App 違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》對(duì)企業(yè)共享、加工用戶(hù)數(shù)據(jù)都存在匿名化的要求，但只是對(duì)用戶(hù)現(xiàn)實(shí)生活中的身份信息匿名化，企業(yè)仍然可以通過(guò)收集到的IDFA 等一系列和用戶(hù)身份對(duì)應(yīng)的標(biāo)識(shí)符，關(guān)聯(lián)匹配后去獲取用戶(hù)精準(zhǔn)信息，以此實(shí)現(xiàn)精準(zhǔn)營(yíng)銷(xiāo)，可能會(huì)造成用戶(hù)身份匿名化的失效。

2.2 多種數(shù)據(jù)資源交叉比對(duì)加大數(shù)據(jù)泄露的風(fēng)險(xiǎn)

從科大訊飛的廣告平臺(tái)、訊飛AI 營(yíng)銷(xiāo)云的介紹中可以看到，該平臺(tái)整合了訊飛自有移動(dòng)資源：如訊飛輸入法、靈犀、語(yǔ)記等；合作移動(dòng)APP 資源：如美圖、一點(diǎn)資訊、作業(yè)幫、天氣預(yù)報(bào)、喜馬拉雅等覆蓋各個(gè)領(lǐng)域的資源；騰訊系資源：QQ、微信、騰訊廣告聯(lián)盟等；OTV 資源：優(yōu)酷土豆、愛(ài)奇藝、暴風(fēng)、手機(jī)電視等。通過(guò)各種平臺(tái)上海量用戶(hù)數(shù)據(jù)的交叉關(guān)聯(lián)，很容易獲取全面的用戶(hù)身份信息及網(wǎng)絡(luò)活動(dòng)信息，這些大數(shù)據(jù)平臺(tái)只要有一方存在安全隱患，就會(huì)帶來(lái)數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

2.3 沒(méi)有明確的法規(guī)對(duì)采集身份標(biāo)識(shí)符的行為進(jìn)行規(guī)范

目前我國(guó)的《廣告法》《互聯(lián)網(wǎng)廣告管理暫行辦法》監(jiān)管重點(diǎn)在于互聯(lián)網(wǎng)廣告投放內(nèi)容的管理，《App 違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》管理重點(diǎn)是用戶(hù)在現(xiàn)實(shí)生活中的身份信息，這些法律法規(guī)對(duì)廣告平臺(tái)收集用戶(hù)身份標(biāo)識(shí)符等信息的行為未能進(jìn)行有效的規(guī)范和統(tǒng)一，缺乏相應(yīng)的約束機(jī)制。

3 關(guān)于IOS開(kāi)發(fā)體系下用戶(hù)身份標(biāo)識(shí)符調(diào)用安全保護(hù)的對(duì)策建議

針對(duì)IOS開(kāi)發(fā)體系下的用戶(hù)身份標(biāo)識(shí)符調(diào)用存在的信息安全問(wèn)題，本文提出如下監(jiān)管上的對(duì)策建議。

3.1 建議監(jiān)管部門(mén)進(jìn)一步明確個(gè)人信息的具體范疇

從本文的測(cè)試發(fā)現(xiàn)，騰訊新聞、今日頭條、抖音、多閃、訊飛輸入法在同一臺(tái)蘋(píng)果手機(jī)上被采集信息時(shí)記錄的IDFA 是統(tǒng)一的，同時(shí)擁有廣告平臺(tái)的企業(yè)如字節(jié)跳動(dòng)會(huì)對(duì)自己旗下的應(yīng)用另外設(shè)置一套身份標(biāo)識(shí)符。廣告廠商可以通過(guò)IDFA 等標(biāo)識(shí)符向特定用戶(hù)投放特定廣告，就好比向手機(jī)號(hào)碼發(fā)送廣告短信，身份標(biāo)識(shí)碼和手機(jī)號(hào)碼同樣是個(gè)人身份的一個(gè)標(biāo)識(shí)。建議監(jiān)管部門(mén)將此類(lèi)標(biāo)識(shí)劃分為個(gè)人信息，約束互聯(lián)網(wǎng)企業(yè)通過(guò)身份標(biāo)識(shí)碼共享關(guān)聯(lián)用戶(hù)的行為信息。參考Mozilla 公司曾建議蘋(píng)果公司對(duì)iPhone、iPad、iPod Touch 和Apple TV設(shè)備上，App Store 和Apple News 應(yīng)用中的IDFA 進(jìn)行每月重置。對(duì)于國(guó)內(nèi)互聯(lián)網(wǎng)企業(yè)自有的用戶(hù)身份標(biāo)識(shí)符的監(jiān)管也可以參考這種做法，督促此類(lèi)企業(yè)定期將收集到的用戶(hù)身份識(shí)別符進(jìn)行重置，避免企業(yè)根據(jù)固定的身份標(biāo)識(shí)符不斷積累用戶(hù)信息，形成大企業(yè)大平臺(tái)對(duì)用戶(hù)信息的壟斷。

3.2 建議監(jiān)管部門(mén)對(duì)目前數(shù)據(jù)服務(wù)商推出的各類(lèi)用戶(hù)身份標(biāo)識(shí)符進(jìn)行規(guī)范或統(tǒng)一

目前國(guó)內(nèi)外的各大數(shù)據(jù)服務(wù)商都在大力推廣自己的用戶(hù)身份標(biāo)識(shí)符，例如數(shù)盟科技推出可信ID，熱云數(shù)據(jù)推出GAID，Adjust 推出歸因哈希，騰訊燈塔推出QIMEI，TalkingData 推出TDID，友盟推出UMID。這些數(shù)據(jù)服務(wù)商都是根據(jù)自身向開(kāi)發(fā)者提供的SDK 來(lái)采集用戶(hù)設(shè)備信息并自行生成一個(gè)用戶(hù)身份標(biāo)識(shí)符，只要是整合了該數(shù)據(jù)服務(wù)商SDK 的應(yīng)用都具備該體系下統(tǒng)一的身份標(biāo)識(shí)符。建議相關(guān)監(jiān)管部門(mén)對(duì)這些數(shù)據(jù)服務(wù)商生成的用戶(hù)身份標(biāo)識(shí)符進(jìn)行規(guī)范和統(tǒng)一，避免這些數(shù)據(jù)服務(wù)商超范圍收集用戶(hù)信息及濫用標(biāo)識(shí)符。

3.3 保證重要信息在多種渠道流傳中的安全性

目前流行的精準(zhǔn)營(yíng)銷(xiāo)是一個(gè)數(shù)據(jù)采集、大數(shù)據(jù)整合、對(duì)接廣告需求和發(fā)布的過(guò)程。網(wǎng)絡(luò)平臺(tái)通過(guò)多種渠道采集用戶(hù)行為信息，經(jīng)過(guò)數(shù)據(jù)處理后，這些信息被轉(zhuǎn)換成大數(shù)據(jù)儲(chǔ)存在 DMP（Data-ManagementPlatform，數(shù)據(jù)管理平臺(tái)），隨后，ADX（Ad Exchange，廣告交易平臺(tái)）會(huì)以大數(shù)據(jù)算法的形式配合廣告主的特殊需求，最后通過(guò)DSP（Demand Side Platform，需求方平臺(tái)）整合的廣告主需求，尋找合適的廣告位供應(yīng)商進(jìn)行發(fā)布。在這些過(guò)程當(dāng)中，所采集的用戶(hù)等重要信息經(jīng)過(guò)ADX、DSP、DMP 等多個(gè)渠道環(huán)節(jié)，有可能帶來(lái)信息安全風(fēng)險(xiǎn)。建議對(duì)廣告聯(lián)盟中各個(gè)環(huán)節(jié)加強(qiáng)監(jiān)管，在現(xiàn)有互聯(lián)網(wǎng)廣告管理辦法中細(xì)化ADX、DSP、DMP 等聯(lián)盟成員的職責(zé)，在對(duì)擁有廣告平臺(tái)的企業(yè)開(kāi)展新技術(shù)新業(yè)務(wù)安全評(píng)估時(shí)，可以同時(shí)針對(duì)DMP 開(kāi)展安全評(píng)估，檢查此類(lèi)平臺(tái)中收集的用戶(hù)數(shù)據(jù)，對(duì)數(shù)據(jù)的傳輸、存儲(chǔ)及處理進(jìn)行安全檢測(cè)。

4 結(jié)束語(yǔ)

當(dāng)前互聯(lián)網(wǎng)企業(yè)及數(shù)據(jù)服務(wù)商為了實(shí)行精準(zhǔn)營(yíng)銷(xiāo)，可以從各個(gè)渠道較為全面地獲取到用戶(hù)信息，并利用身份標(biāo)識(shí)符進(jìn)行匹配，為了保證用戶(hù)個(gè)人信息的安全，身份標(biāo)識(shí)符的調(diào)用安全問(wèn)題迫切需要受到重視。本文對(duì)IOS 體系下身份標(biāo)識(shí)符調(diào)用的安全性問(wèn)題進(jìn)行了初步的研究和探討，并相應(yīng)提出了相關(guān)的監(jiān)管建議，為今后更深入的研究提供一定參考。。