你是否曾有过这样的体验：前一天在社交媒体应用上搜索了一款洞洞鞋，第二天却在毫不相干的购物应用中看到了同款鞋的推荐。你可能会感到困惑，回忆自己是否在其他应用中搜索过这款鞋。在确认没有之后，你可能会猜测是这些公司在共享你的数据，或者更令人不安地，手机的麦克风在偷听。

尽管这些猜测，尤其是麦克风监听，很容易被识破，但考虑到当前互联网公司的操作，我们也不能完全排除。然而，广告商实际上拥有更隐秘且安全的方法，能够跨应用将这款洞洞鞋推送给你：他们只需要能够识别“你的手机”即可。

例如，一台手机在一款应用（A）中搜索了洞洞鞋，这款应用就会将此偏好与该设备关联。当同一台设备切换到另一款应用（B）时，应用B能够识别出是同一台设备，从而继续推送你感兴趣的商品。这种识别是基于设备本身，而无需知道你的具体身份信息。

那么，广告商是如何收集这些信息的，又是如何实现跨应用共享的呢？最近，一个名为 Loupe 的安全应用引起了关注。这款应用的功能是展示用户手机应用能够获取多少数据，以及用户每授予一个权限会暴露哪些信息。

在使用 Loupe 后，你会对随意授予应用权限感到更加谨慎。即使在不授予任何权限的情况下，Loupe 也能显示出一些关于手机的基本信息，例如手机地区设置为新加坡，键盘支持中英文混合输入，设备于2023年9月激活，自激活以来已执行29034次复制操作，上次开机距今已有8天3小时44分钟。

此外，Loupe 还能根据用户安装的应用（如 Steam、Discord、GitHub、Slack）来推断用户的兴趣和职业，例如判断用户可能是游戏玩家或从事科技行业。

这些信息只是应用界面上显示的，更详细的报告会揭示更多信息。例如，Loupe 可以得知你的 iPhone 15 Pro 剩余105GB存储空间，当前处于深色模式，屏幕亮度约一半，电量60%，未连接充电器；双卡均处于5G网络状态，甚至还能感知手机的倾斜角度和朝向。

你可能会觉得这些零散的信息不足为惧，无法定位到你。然而，这些信息组合起来，就构成了你 iPhone 独一无二的“设备指纹”，足以让广告商在众多设备中识别出你的手机。

值得注意的是，以上信息仅是 Loupe 基于公开API获取的。如果像其他应用一样，你授予了 Loupe 相册、定位等权限，它还能获取更多信息。

当 Loupe 被授予相册权限后，它会显示相册中包含1119段视频和9371张图片，其中3033张照片带有地理位置信息，并能统计出最常出现的地点。虽然 Loupe 的展示可能只精确到“余杭区”，但照片中的 EXIF 信息包含精确到十米左右的经纬度。通过分析不同地点出现的频率和时间，应用可以推断出你的居住地、工作地点，甚至老家所在地。这或许解释了为何有些应用即使未被授予定位权限，却能推送周边活动信息。

为了保护隐私，建议用户将所有应用的图片访问设置为通过系统图片选择器，这样 iOS 默认不会将照片的定位信息发送给应用。同时，对于那些以“方便”为由请求开启全部权限的弹窗，应选择“保持现状”。

当 Loupe 被授予本地网络权限时，它能够发现局域网内的所有设备，包括同事的电脑、打印机和NAS。虽然发现局域网设备是该权限的合理用途，但一些应用在用户未明确需要投屏等功能时就主动索要此权限，这令人担忧。

后续的位置、蓝牙、日历等权限授予，会进一步加深应用对用户的了解，使设备指纹更加清晰和多元化。

那么，在应用A中生成的设备指纹和用户偏好是如何被应用B获知的呢？这通常是通过广告商实现的。许多应用会集成广告SDK，这些SDK负责从广告平台获取并展示广告。同时，SDK会将你手机的特征信息回传给广告平台。这样一来，你在应用A中产生的喜好就被广告平台知晓，并可以被应用B、C、D等其他应用共享。

理论上，识别设备可以有更简单的方式。苹果的IDFV（ID for Vendor）允许同一公司旗下的应用共享同一识别码。而跨公司识别则依赖于IDFA（ID for Advertisers），它为每台设备生成一个唯一的识别码，供广告商跨应用追踪。

然而，自2021年苹果推出“App跟踪透明度”（ATT）政策后，IDFA的使用权交给了用户。用户可以选择“要求App不要跟踪”，从而清零IDFA。

在这种情况下，广告商转而依赖设备指纹的收集。Mysk团队的研究表明，Facebook、Instagram、Chrome、Spotify等应用，尽管在隐私清单中承诺不外传信息，但仍会将用户手机的开机时间等信息发送出去，这被认为是用于拼凑设备指纹。

安卓阵营也存在类似情况。谷歌的研究显示，大量安卓应用和SDK中包含收集设备指纹的功能，尤其是在交友和漫画类应用中，这一比例更高。

Loupe这款应用完全免费且开源，iPhone用户可以下载尝试。它能帮助用户了解哪些数据被暴露以及暴露的途径，从而提高安全意识。广告商获取用户偏好的方式不止设备指纹，还包括相似人群、账号打通、协同过滤等多种手段。Loupe的主要价值在于提升用户的隐私保护意识。