freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

高举隐私大旗,谷歌拳打Cookie,苹果脚踢SDK
2024-01-09 15:40:52
所属地 上海

伴随着数字时代的快速发展,用户隐私保护意识正在觉醒,对于隐私保护关注度明显上升。与此同时,全球也拉开了隐私保护的大潮流,从GDPR到个人信息保护法,隐私问题已经成为互联网科技巨头必须直面的“深坑”。

不少巨头在上面栽跟头,其中最令人耳熟能详的就是Meta。2019年因泄露用户隐私,Facebook被罚款50亿美元;2021年,因暴露全球数亿用户的个人信息。Meta被爱尔兰数据保护委员会(DPC)罚款2.65亿欧元。

1704796499_659d215354e777f520f14.jpg!small?1704796500546

而就在近日,谷歌高举用户隐私保护的大旗,开始计划全面禁用第三方Cookie,目前已经对1%的用户进行小范围测试,预计将在今年年底扩展到全部Chrome浏览器用户。同样值得关注的是,苹果此前发布的2024年应用开发者新规中提到将严厉打击第三方SDK隐私清单,将在今年春季重点实施。

2024年伊始,谷歌、苹果两家巨头无疑为用户隐私保护放出了两记重磅“炸弹”。这两大举措不仅对整个科技行业生态产生了巨大影响,在个人隐私保护领域也是标志性事件。

谷歌宣布取消Cookie

事实上,谷歌的这一举措已酝酿多年。本次推出的Cookie禁令,所针对的是第三方Cookie,即在线广告行业在网站上放置的用于跟踪用户、投放相关广告的Cookie,不会影响网站用来存储登录信息等基本内容的Cookie。

《华尔街日报》评论称,这是互联网广告行业有史以来最大的变化之一。此举措的出台将大大改变广告商追踪目标用户的方式,同时也意味着“个性化推荐”将被逐步取消。

1704785998_659cf84e7a72096fb5e38.jpg!small?1704785999441

Cookie的全称为HTTP Cookie,是一种用于在客户端与服务器之间传递信息的小型文本文件。它最早出现在1994年,由网景公司的程序员Lou Montulli发明。最初的目的是为了解决购物车功能的问题,后来被广泛应用于网站的用户追踪和个性化服务。现如今,Cookie已经成为互联网中不可或缺的一部分。

在互联网行业,“Cookie”是指浏览网页后存储在计算机的缓存文件,包括用户名、密码、注册账户、手机号等公民个人信息。一些网站为了辨别用户身份会使用“Cookie”。

比如,当我们在首次浏览某一网站时,会收到如下图所示的“Cookie”弹窗。提示“你是否要记住密码”如果选择是,下次访问可以不输入账号密码直接登录,这是Cookie的功能之一。

1704786988_659cfc2c43486160ef8c3.png!small?1704786989297

Cookie作为互联网中的重要组成部分,为我们提供了许多便利的功能,同时也带来了一些隐私和安全的风险。

由于存在数据隐私风险,多家机构及公司都曾对Cookie的使用进行整治。例如,欧盟禁止在未经用户明确同意的情况下使用不必要的Cookie来分析或跟踪用户,苹果禁止iPhone和iPad用户使用第三方Cookie。

在谷歌宣布取消Cookie后,广告行业对这一举措非常不满。广告技术行业贸易组织IAB Tech Lab的首席执行官Anthony Katsur称对于此事,广告行业还远未做好准备。因为这可能会影响公司广告到达理想受众的程度。

根据Statcounter公布的数据,谷歌浏览器占全球互联网流量的65%,是名副其实的互联网广告巨头,一直以来广告行业都极其依赖谷歌强大的流量。因此,在取消Cookie后,在线广告的价格可能会随着谷歌的举动而发生不可预测的变化。

苹果对第三方SDK重拳出击

在谷歌之前,全球巨头苹果公司针对用户隐私保护也有“大动作”。

自从2021年 iOS14.5 推出 IDFA 新规后,无论苹果是真的想保护消费者隐私,还是像很多友商评价的其本质是为了增加自己的广告服务收入也好,总之苹果对隐私保护的政策正在变得越来越严格。

2023年冬,苹果发布了2024年春季的应用开发者新规,其中提到,将严厉打击第三方SDK隐私清单;目的是保护用户隐私;以便用户更加了解第三方SDK的使用和收集数据的方式。

SDK,全称Software Development Kit,即软件开发工具包。广泛来说,它是辅助开发某一类软件的相关文档、范例和工具的集合。而对手机来说,通常情况下,这些SDK 是由广告、数据、社交网络、地图和推送平台等第三方服务提供商所开发的工具包,可以提供专业的服务,其中封装了复杂的逻辑实现以及请求响应的过程,使其更便于开发人员使用。为了缩短开发时间和提高开发效率,手机应用开发商将多种类型的第三方SDK(软件开发工具包)集成到他们的应用程序中。不难看出,第三方SDK已经成为了手机应用生态系统的重要组成部分。

应用开发者使用SDK,不仅可以更好地减轻开发者的负担,还能辅助软件的功能开发,但是无论是开发者或者用户都很难发现SDK隐藏的隐私风险。

于是在 2023 年 WWDC 上,苹果就宣布了新的 SDK 隐私清单和签名,以便用户更好的了解第三方 SDK 使用和收集数据的方式,并在2024年春季重点实施。

第三方隐私清单(privacy manifest),本质上就是让 SDK 开发人员提供他们 SDK 是如何收集数据的,这样就能够让 APP 开发者在集成各种 SDK 的时候,就能迅速得到一份详细的相关报告,从而避免额外手机不必要的用户数据。

1704786024_659cf8685b7ddb203f2d0.png!small

在此次新规中,苹果要求所有的开发者如果使用第三方 SDK,就必须要对 APP 中 SDK 包含的所有代码负责,并且清晰地了解 SDK 是如何收集和使用用户数据的。

这样开发者就能在提交 APP Store 审核时,能够更好且更清晰的在后台提供自己 APP 的隐私标签,在 APP Store 的后台明确自己 APP 的数据收集和使用场景,从而让用户能够在详情页就清楚的指导该 APP 收集了哪些数据,并且将会把这些数据用在什么地方。

除此之外,苹果还要求 SDK 的开发者提供SDK 签名。苹果希望通过签名认证的方式,来确保 SDK 不会在开发的过程中被篡改。经过签名认证后的 SDK ,在 Xcode15 会显示对应的 Signature 信息,如果一旦发现本次签名和上次不一致,那么 Xcode 就会让编译失败并弹出警告。虽然目前来看,苹果并没有要求所有的 SDK 强制使用签名,但如果这一 SDK 涉及到隐私手机,尤其是出现在下面列表中的这些 SDK,则一定要添加相关签名。

在本次新政策中,还有一个值得注意的就是API声明。苹果做了一个新的 API 分类,开发者需要在隐私清单里面说明为什么需要调用该 API 接口。从目前的情况来看,苹果可能是期望通过此举来规范 APP 使用这些 API 做各种 Fingerprinting 识别行为。也就是说,如果 SDK 和 APP 里用到了分类里的这些 API ,那么开发者就需要在隐私列表里填写为什么要使用这些 API 的原因。

在去年6月的WWDC23大会上,苹果公司曾公开表示该功能是为所有应用向前迈出的一步,他们鼓励所有的SKD采用,以更好地支持依赖它们的应用。同时还表示,保护用户隐私、让用户自己掌控个人信息,是苹果设计产品和服务时一贯坚持的理念。

Cookie、SDK或是隐私泄露的“幕后黑手”

谷歌和苹果的此番动作,或许是为了加强企业自身的主流地位,也或许是扩大ios生态的护城河......总之归根结底是为了其商业版图服务,因此才对第三方痛下杀手。

关于这一点我们在这不过多讨论,但有意思的是,这两家巨头这次的大动作都是以“隐私之名”发起的,那么限制第三方Cookie和SDK对于用户隐私究竟有哪些帮助?

在探讨这个问题之前,我想先问问,在日常生活中,大家是否曾有过这样的经历?某天你在网上随便搜索或者曾经购买过某件商品,或者和朋友聊起过某个物品,随后马上就会在很多个APP、浏览器、开屏广告等等看到相关内容的广告推送。这时候你是否会有一种“它怎么知道我喜欢什么?”的疑惑,甚至觉得有点细思恐极。明明是不同的APP、不同的账号,为什么能完全能知道我们之前看了什么?

其实隐匿在背后窥视用户隐私的“黑手”,正是第三方SDK和Cookie。

1704786215_659cf9275a06adb88c391.png!small?1704786217012

根据此前国家计算机网络应急技术处理协调中心、中国网络空间安全协会发布的《APP违法违规收集使用个人信息监测分析报告》显示,第三方SDK收集行为普遍存在。很多APP甚至会在用户同意隐私政策前就开始收集个人信息,且在隐私政策中未明确提及接入SDK数据收集情况,同时还有了SDK收集个人信息范围与隐私政策描述不相符等问题。可以说第三方SDK在嵌入App时,也嵌入了风险元素。

不止SDK,存储着用户大量个人信息,包括用户的登录状态、浏览信息、设备信息等内容的Cookie也是用户隐私泄露的一大安全隐患。

虽然Cookie收集的内容本身只是纯文本文件,不会泄露隐私信息,但如果网站以此为线索,长期追踪用户的行为,或者采取其他交叉技术手段获取信息,就可以获取到一些用户的隐私信息。

根据这些收集来的信息,海量的用户被迅速“画像”,当用户再次登录这些网站或APP时,它们便会根据用户的“画像”推算其可能感兴趣的内容,从而实现精准推送。

那么今后如果取消Cookie并对第三方SDK加以限制,能够很大程度地减少其对用户信息的跟踪和收集,保护用户的个人数据。其次,由于第三方Cookie和SDK经常与多个不同的公司和服务共享数据,这样的举措也能够降低数据泄露和滥用的风险。同时,对第三方Cookie和SDK的限制还可以提高用户的隐私意识,让用户更加了解自己的数据是如何被收集和使用的。当用户知道他们的隐私得到了保护,他们对使用该服务或产品的信任度也会增加。

不过值得注意的是,限制第三方Cookie和SDK可能会对业务产生影响,例如可能会降低广告的效果和精准度,也可能会影响个性化服务和内容的提供。因此,如何在保护用户隐私和提供优质服务之间找到平衡,是业界需要面临的挑战。

个人隐私保护之路依旧漫长

自2021年以来,国家陆续出台了《个人信息保护法》、《网络安全法》、《APP违法违规收集使用个人信息行为认定方法》等律法,建立了相对健全的隐私保护制度,尽可能保护大数据时代下的个人信息安全与隐私。

虽然这些年陆续有保护用户隐私的相关政策出台,但法律规范和飞速发展的互联网相比依然是相对滞后的。在经济利益的驱使下,有着无限的利用价值的个人隐私数据依旧被“疯狂掠夺”。个人隐私被侵犯的问题仍是个老生常谈的“难题”。

很显然,个人隐私保护已经成为了互联网时代的重要命题。

此次谷歌取消Cookie、苹果严厉打击第三方SDK,两大科技巨头带头搞出的“大动作,对于保护用户隐私来说,是至关重要的一步。想必今后各平台、APP在收集用户隐私信息方面的监管必定会越来越严格。

山雨欲来风满楼,日趋完善的个人保护律法配合各大企业打出的这套“组合拳”,或许真的能带领个人隐私保护冲破现今这个被明码标价的“黑暗时期”。


参考链接:

https://m.thepaper.cn/baijiahao_3908553

https://zhuanlan.zhihu.com/p/473957033?utm_id=0

本文作者:, 转载请注明来自FreeBuf.COM

# 苹果 # 谷歌 # 个人隐私保护
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录