방금 검색한 내용을 다른 앱에서 찾을 수 있는 이유는 무엇인가요?

혹시 이런 경험을 해보신 적 있으신가요? 전날 소셜 미디어 앱에서 크록스 신발을 검색했는데, 다음 날 손이 닿지 않는 쇼핑 앱에서 이 신발에 대한 추천을 봤습니다...

당신은 두 번째 앱에서 이 신발을 언급했는지 기억하며 당황하기 시작합니다.

그런 것이 없음을 확인하고 나면 '이 두 회사가 내 데이터를 비밀리에 주고받았나 보다' 혹은 '그렇구나, 전화 마이크가 나를 도청하고 있는구나'라고 추측하기 시작합니다.

위의 두 가지 작업은 상당히 터무니없지만, 특히 쉽게 비밀을 폭로하고 패킷을 잡아서 비밀을 밝힐 수 있는 마이크 도청이지만 요즘 인터넷 회사의 하한선을 생각할 때 Shichao는 감히 이를 보증하지 않습니다.

하지만 제가 오늘 이야기하고 싶은 것은 실제로 광고주가 앱 전체에서 악어 신발을 푸시할 수 있는 더 비밀스럽고 안전한 방법이 있다는 것입니다.

단지 앱이 "귀하의 휴대폰"을 인식하기만 하면 됩니다.

예를 들어 휴대폰이 A소프트웨어에서 크록스 신발을 검색하면 기기 이름에 맛이 기록된다.

소프트웨어 B로 전환하고 동일한 장치를 다시 인식하면 이 버전을 계속해서 추진할 수 있습니다. 기계를 인식하므로 귀하의 이름이나 귀하가 누구인지 알 필요가 없습니다.

그렇다면 광고주는 이 정보를 어떻게 기록하며, 이 정보가 어떻게 빠져나가는가 하는 질문이 생깁니다.

최근 Shichao는 보안 팀에서 개발한 앱인 Loupe를 발견했습니다.

사용자에게 알려주는 기능은 단 하나뿐입니다. 모바일 앱이 귀하에 대해 얼마나 많은 데이터를 얻을 수 있습니까? "허용"할 때마다 추가 권한에 대해 무엇이 노출되나요?

어쨌든, 이 앱을 사용한 후 Shichao는 감히 무작위로 권한을 부여하지 않았습니다. 정말 교훈을 얻었습니다.

예를 들어 루페에 처음 가입했을 때 아무런 권한도 주지 않고 파워업만 줬어요.

그것은 알고 있다전화기의 지역을 싱가포르로 설정했고 키보드는 중국어와 영어를 혼합하여 사용합니다. 해당 머신은 2023년 9월에 활성화됐다. 그날 이후로 29,034번이나 복사했다. 마지막으로 켠 게 8일 3시간 44분 전이었어요.

심지어 나를 위해 초상화도 그려주었다. Steam과 Discord를 설치했다는 사실을 알고 아마도 게이머일 것이라고 판단했습니다. 저도 GitHub와 Slack을 설치한 걸 보고 기술 업계에 종사하는 줄 알았습니다.

위 내용은 앱 측에만 표시됩니다. 좀 더 자세한 보고서를 보면 더 많은 것을 알고 있다는 것을 알게 될 것입니다.

예를 들어, 내 iPhone 15 Pro에는 105G의 저장 공간이 남을 것이라는 것을 알고 있습니다. 현재 다크 모드이고, 화면 밝기는 절반 이상이고, 배터리는 60%이며, 충전기는 연결되어 있지 않습니다. 듀얼 SIM 카드와 듀얼 대기 모드가 있으며, 두 SIM 카드 모두 5G에 있습니다. 지금 이 순간 휴대폰이 어떻게 기울어져 있는지, 어느 방향을 바라보고 있는지도 알 수 있다.

이러한 부분이 알려지면 우리를 찾을 수 있을까?

설마.

하지만 이를 결합하면 이 iPhone의 고유한 기능, 즉 장치 지문이 됩니다.이는 광고주가 귀하의 iPhone을 다른 휴대폰과 구별하기에 충분합니다.

게다가 공개 API를 기반으로 Loupe가 보는 정보는 다음과 같습니다.

다른 앱과 마찬가지로 루페에 사진 앨범, 위치 등에 대한 액세스 권한을 부여하면 어떤 정보를 알 수 있나요?

Shichao는 사진 앨범에 대한 권한을 부여하려고 했습니다.

곧 Loupe는 내 라이브러리에 있는 1,119개의 비디오와 9,371개의 사진 중 3,033개가 지리적 위치를 가지고 있으며 내가 가장 많이 방문한 장소를 나열했다고 말했습니다.

앱이 "유항구"까지만 정확하다는 사실을 보지 마십시오. 이것은 단지 확대경으로 표시하는 편의를 위한 것입니다.

사진 속 EXIF ​​정보에는 약 10미터까지 정확한 경도와 위도가 포함되어 있다는 것을 알아야 합니다. 앱은 각 위치의 발생 횟수와 시간을 분석하여 내가 살고 있는 동네와 내가 일하는 곳을 대략적으로 추측할 수 있습니다. 그리고 명절 때 가끔 나타나는 작은 18선 군마을이 나의 고향일 확률이 높다.

Shi Chao는 이제 조금 이해합니다.분명히 찾을 수 있는 권한이 없는 일부 앱이 있지만 항상 주변 활동과 가십을 푸시할 수 있습니다. 문제를 해결하기 위해 사진 앨범 전체에 대한 권한을 부여한 것은 아닐까?

Shichao는 인증을 위해 몇 장의 사진을 확인할 수 있도록 팝업되는 시스템 사진 선택기를 사용하도록 모든 앱을 설정할 것을 권장합니다. 현재 iOS는 기본적으로 사진 위치를 앱으로 보내지 않습니다.

그런데 "편의"를 위해 모든 권한을 활성화할지 묻는 팝업을 클릭하는 것을 잊지 마세요.현 상태를 유지하다.

다음으로 Shichao는 Loupe에 대한 로컬 네트워크 권한을 열어 무엇을 얻을 수 있는지 확인합니다.

솔직히 말해서, 누가 이 권위에 대해 다시 생각해 보겠습니까? 그냥 프린터를 화면에 연결하는 것 아닌가요?

그러나 허용을 클릭한 후 LAN에 있는 모든 동료의 컴퓨터, HP 레이저 프린터 및 두 개의 GreenLink NAS가 모두 표시되었습니다.

물론, 이 권한은 주변 기기를 모두 볼 수 있도록 하는 것이 타당합니다. 그렇지 않으면 기기를 찾을 수 없습니다.

나는 이해하지 못한다. 화면을 전송해야 할 때 이 권한이 팝업되어야 하지 않나요?

왜 그렇게 많은 앱이 앱을 열었는데도 연락을 해서 뭔가를 요청하는 걸까요?

Shichao는 다음 위치, 블루투스 및 캘린더 권한에 대해 자세히 설명하지 않습니다. 스크린샷을 통해 정보를 확인하실 수 있습니다.

즉, "허용"을 클릭할 때마다 앱이 귀하에 대해 더 많은 정보를 학습하게 되며 귀하의 장치 지문이 더욱 명확해지고 다양해집니다.

그러면 소프트웨어 B는 소프트웨어 A에서 계산된 나의 지문과 선호도를 어떻게 알 수 있습니까?

정답은 광고주입니다.

많은 앱이 자체 광고 시스템을 구축하지 않고 대신 기성 광고 SDK에 연결합니다. 앱에서 보는 오프닝 화면 광고와 정보 흐름의 광고는 모두 이 코드에 의해 광고 플랫폼에서 획득되어 귀하에게 표시됩니다.

동시에,SDK귀하의 휴대폰 특성이 광고 플랫폼으로 다시 전송됩니다.

이런 식으로 광고 플랫폼은 소프트웨어 A에 대한 귀하의 취향을 광고하고 소프트웨어 B, C, D 모두 이에 대해 알게 됩니다.

일반적으로 SDK가 휴대폰을 인식하려고 하면 그렇게 문제가 되지 않습니다.

Apple은 원래 IDFV라는 심각한 식별 코드를 발행했습니다. 이는 "동일한 회사가 소유한 여러 앱이 동일한 번호를 공유한다"는 의미입니다. 따라서 같은 회사의 여러 앱을 설치하면 아무런 노력 없이도 동일한 사람으로 인식됩니다.

그러나 기업 전반에 걸쳐 IDFV는 더 이상 보편적이지 않으며 IDFA가 작동하게 됩니다.IDFA는 휴대폰마다 하나의 번호를 가지며 모든 앱에 공통됩니다. 이는 광고계가 앱 전체에서 사람들을 식별할 수 있도록 특별히 설계되었습니다.

그런데 문제가 또 생겼습니다.

2021년 Apple은 ATT(앱 추적 투명성)를 출시하여 IDFA 스위치를 다시 사용자의 손에 맡겼습니다. 앱을 사용하고 싶으면 팝업창이 뜹니다. '추적하지 않도록 앱 요청'을 클릭하시면 그 자리에서 계정이 삭제됩니다.

따라서 결국 광고주는 문제를 스스로 해결하고 이 장치 핑거프린팅 전략을 사용할 수 있습니다.

그렇다면 이 전술이 실제로 앱에서 비밀리에 사용되고 있습니까?

정말 있습니다.

Loupe의 개발자 팀은 Mysk라고 합니다. 그들은 이전에 Facebook, Instagram, Threads, Chrome 및 Spotify에서 패킷을 캡처했습니다. 이들 앱은 애플의 개인 정보 보호 목록에 "이 정보를 읽겠지만 외부에 절대 공유되지 않을 것"이라고 약속했지만 실제로는 사용자 휴대폰의 부팅 시간을 비밀리에 전송한 것으로 밝혀졌습니다.

아니 형님, 왜 컴퓨터를 켜시겠어요? 월마트 비닐봉지나 무장헬기보다 맛이 더 독특한게 아닐까...

사실, 진실은 단 하나뿐입니다. 그것은 장치 지문을 하나로 모으는 것입니다.

안드로이드 캠프에서도 비슷한 일이 일어났습니다.

2025년 Google 연구팀은 180,000개의 Android 앱과 220,000개의 SDK를 검색한 논문을 발표했습니다. App Store의 인기 앱 중 39.4%에 기기 지문을 수집하는 SDK가 탑재되어 있는 것으로 나타났습니다. 카테고리를 데이트 앱과 만화 앱으로 분류하면 그 수치는 82%, 88%로 치솟는다.

네, 이상으로 이 앱에 대한 소개입니다.

현재 Loupe는 완전 무료이며 오픈 소스입니다. 다음에는 아이폰 사용자들이 시도해 볼 수 있을 것 같습니다(안드로이드 사용자들은 기다려 볼 수도 있습니다).

물론, 시도해 본 후에 모두가 전쟁에 참여할 필요는 없습니다.

결국 광고주는 귀하가 무엇을 보고 싶어하는지, 무엇을 사고 싶은지 추측하고 싶어합니다. 기기 지문 외에도 유사 그룹, 계좌 개설, 협업 필터링 등이 있습니다. 방법은 다양합니다.

자신이 가지고 있는 데이터가 어떤 상황에서 노출되는지 알 수 있게 해주는 것이 루페의 가장 큰 역할이라고 생각합니다. 보안 인식을 높이고 더욱 주의하십시오.