LWN：Android墻紙用作身份識別！

關注了就能看到更多這么棒的文章哦～

Android wallpaper fingerprints

By Jake Edge
October 26, 2021
DeepL assisted translation
https://lwn.net/Articles/873921/

如今的廣告商之類的人，一直在追求的一個主要目標就是希望能唯一地識別出來某個用戶，以便于在互聯(lián)網上開展業(yè)務時能對其進行跟蹤，這是一件很可悲的事。網絡瀏覽器的 cookies 就是一個相當知名的追蹤方式，可以在用戶瀏覽各種網站時對其進行追蹤，但移動應用程序并不是瀏覽器，所以沒有這樣一種機制。然而，事實證明還是有辦法對安卓設備（可能還有其他移動平臺的設備）進行 "特征識別（原文是 fingerprint 當動詞用）"，這樣就可以在設備所有者切換各個應用程序之時對其進行追蹤。

雖然 cookies 提供了一個簡單的機制，也就是為每個特定的瀏覽器實例來分配一個獨一無二的 ID，但人們也很容易針對 cookie 來實現(xiàn)避免被追蹤的需求。由于 cookies 是存儲在本地的，它們可以被刪除，或者瀏覽器也可以限制使用它們的方式。除此之外，用戶可以要求他們的瀏覽器要拒絕 cookies。也許正因為如此，瀏覽器特征識別（browser fingerprinting）技術應運而生。

瀏覽器特征識別最初是使用 JavaScript 來查詢?yōu)g覽器環(huán)境下的各種特征（如顯示屏幕的尺寸、安裝的插件和字體、本地化設置等），并將其與瀏覽器發(fā)送過來的 User-Agent 字符串等信息結合起得出一個通?？梢詷俗R唯一用戶的 ID。隨著瀏覽器制造商不斷減少其所泄露出來的信息的數(shù)量和種類，追蹤公司也開發(fā)了新的技術（例如 canvas fingerprinting）。電子前沿基金會（EFF，Electronic Frontier Foundation）的 Panopticlick 工具就展示了如何使用特征識別，該組織現(xiàn)有的 Cover Your Tracks 工具就可以展示出瀏覽器對特征識別的保護程度有多好。

在移動設備中現(xiàn)在就有許多特征識別技術是在瀏覽器中可以生效的，但如今用戶經常使用應用程序來訪問內容，而不是使用瀏覽器了。應用程序可以直接發(fā)送他們認為必要的信息來完成工作，不再需要依靠用戶存儲空間來保存 cookies。但安卓應用程序不能直接訪問 JavaScript 和瀏覽器環(huán)境，安卓 API 對應用程序可以獲得哪些環(huán)境信息也有一定的限制。它們也無法直接在手機上相互分享一個 ID 數(shù)字。所以需要一些其他技術。

[Wallpaper ID］

在最近的一篇博文中，F(xiàn)ingerprintJS 的 Alexey Verkhovsky 詳細介紹了一種利用安卓手機壁紙圖像提取信息來識別設備特征的方法。直到安卓 8.1（2017 年 12 月發(fā)布）之前，應用程序都可以直接訪問壁紙圖像，谷歌在該版本中通過要求 READ_EXTERNAL_STORAGE 權限來收緊了普通應用程序使用 getDrawable（）調用的能力。但與此同時，增加了一個新的 getWallpaperColors()調用，允許應用程序獲得主屏幕或鎖屏的壁紙圖像所使用的三種主要顏色，而不需要任何特殊權限。2021 年 10 月發(fā)布的安卓 12 系統(tǒng)就會使用這些信息來為手機用戶界面配置主題（theme）。

該博文探討了如何將這些顏色值組合成一個設備特征 fingerprint，該特征值只在用戶更換壁紙（估計是不會經常發(fā)生吧）時才會發(fā)生變化。Google Play 商店里有一個演示應用，右圖是在我的手機上運行的屏幕截圖。它指出，我的顏色組合在小規(guī)模的樣本中是獨一無二的，但我的壁紙也是每天更換的，所以生成 ID 的跟蹤價值似乎相當?shù)?，那些使用安卓缺省提供?"seascape" 壁紙的人也差不多沒有什么跟蹤價值。

該博文建議使用默認的壁紙，不換壁紙，可以用來針對這種信息泄漏問題進行防護。自定義壁紙或個人照片壁紙將會使手機更容易被識別。經常自動更換壁紙似乎也有助于讓這個 ID 不會保持不變。不過如果應用程序開發(fā)者認為這個信息很重要的話，那么可以跟蹤過去更換的這一批個人照片，就會在另一個層次上提供可識別性。

FingerprintJS 是一家專注于設備特征 fingerprint 的公司，用于防止銀行、商業(yè)、游戲等領域的欺詐。它的大部分代碼都在 GitHub 上，包括壁紙 ID 應用的源代碼和一個用于對安卓進行特征識別的通用庫。先前的一篇博文所提到的還有其他的一些設備識別機制，但其中內容要么已經被刪除，要么可能隨著時間的推移而消失。此外，這些 ID 可能并不會保持不變，或者可以偽造出來，這使得它們在防止欺詐方面不太理想。當然，那些用來檢測未授權交易的 ID 也可用在其他方面，比如用來跟蹤用戶（user tracking）。

這個函數(shù)庫有一個 "playground" app，安裝之后就能進一步調查可以從手機中收集到哪些信息?？捎眯畔⒌姆N類和數(shù)量確實令人大開眼界，比如已安裝的應用程序和本地化選擇等，所有這些都是應用程序可以直接訪問到的，不需要獲得任何額外權限。

壁紙 fingerprint 本身缺乏穩(wěn)定性，這可能使它們不適合大多數(shù)使用情況，但是任何應用程序都能獲得這個數(shù)據(jù)，這就引出了針對屏幕主題而提供信息所帶來的一些意想不到的后果。正如之前的博文所指出的，設備的其他屬性也可以被組合起來創(chuàng)建出可能是唯一的、穩(wěn)定的 ID，甚至可能在設備的整個生命周期內都保持唯一不變。隨著安卓系統(tǒng)減少對此類信息的訪問，但還是無法做到完全不訪問，谷歌可能不會刪除所有這些信息，原因在 wallpaper blog 中已經明確介紹：

谷歌多年來一直沒有限制這些信息的訪問，而且也不太可能限制。說到底，這樣做會影響安卓系統(tǒng)作為廣告平臺的功效。對于世界上最大的科技公司來說，平衡這些利益，保護用戶隱私，這兩者之間需要不斷進行權衡。

除了瀏覽器之外，人們一定會希望在其他地方也能取得唯一 ID。防止欺詐當然是一個值得稱贊的正面用法。但是，如果能夠窺視用戶的活動的話，那就是個負面用途了。而事實上從廣告商到犯罪分子以及政府（包括兩者之間的所有灰色地帶）等實體來說，這個目標甚至是更重要的。這一切都提供了更多的證據(jù)表明，我們的手機就是隱私的噩夢，這可能是我們永遠無法逃脫的東西。至少在標準的移動操作系統(tǒng)中是這樣的。

全文完
LWN 文章遵循 CC BY-SA 4.0 許可協(xié)議。

長按下面二維碼關注，關注 LWN 深度文章以及開源社區(qū)的各種新近言論～