Các app/công ty track người dùng thông qua smartphone như thế nào?
1. Thông qua Advertising ID:
Trên mỗi smartphone đều có ads ID (Ios: IDFA – identifier for advertisers , Android: AAID – Android Advertising ID). Các app có thể sử dụng mã nhận dạng này để theo dõi người dùng.
– Mã nhận dạng này có thể reset để thay đổi thành số khác được
– Nếu người dùng lựa chọn không cho phép app truy cập mã này (Android: Limited ad tracking, Ios: Ask app not to track) thì các app sẽ không thể lấy mã này được
2. Thông qua cookie khi duyệt web trên smartphone
Khi duyệt web trên smartphone, các website sẽ tạo ra cookie để lưu trữ lịch sử người dùng. Cookie có thể bị xóa/hết hạn trong 1 khoảng thời gian.
3. Thông qua fingerprint smartphone device
Các app có thể lấy những thông tin chi tiết về cấu hình của thiết bị, tên nhà mạng, IP… để tạo ra fingerprint cho từng thiết bị (tương tự như trên PC/laptop). Qua đó sẽ có thể theo dõi hành vi người dùng dù người dùng có reset advertising ID, xóa cookie duyệt web.
Dưới đây là ví dụ về các thông tin được các app lấy từ thiết bị người dùng & gửi ra ngoài:
– Device Name (e.g., “John’s iPhone X”)
– Accessibility Setting: Bold Text
– Accessibility Setting: Custom Text Size
– Display Setting: Dark Mode
– Screen Resolution
-Time Zone
– Total Storage Space (bytes precision)
– Free Storage Space (bytes precision)
– Currency (e.g., “USD”)
– iOS Version
– Audio Output (e.g., “Speakerphone”/”Bluetooth”)
– Audio Input (e.g., “iPhone Microphone”)
– Accessibility Setting: Closed Captioning
– Country
– Cellular Carrier Name (E.g., “AT&T”)
– Cellular Carrier Country
– Last Restart Time (Exact Timestamp, Second Precision)
– Calendar Type (E.g., “Gregorian”)
– Enabled Keyboards (E.g., “English, Emoji, Arabic”)
– Current Battery Level (15 decimals precision)
– Current Volume Level (3 decimals precision)
– Accessibility Setting: Increase Contrast
– Current Screen Brightness (15 decimals precision)
– Portrait/Landscape Mode
– Battery Charging State (E.g., “Plugged In”)
– iPhone Model (E.g., “iPhone X”)
– Language
– User Agent (Browser Agent)
– IP address
4. Thông qua SDK tích hợp trong app/website khác:
SDK – software developer kit, là một công cụ để các công ty lớn như google/facebook… cung cấp cho developers để phát triển web/app. Trong quá trình người dùng sử dụng web/app đó, SDK không chỉ thực hiện các chức năng được chỉ định như login/thanh toán… mà còn thu thập data và gửi về cho công ty sở hữu SDK.
5. Mức độ bảo mật của Ios/Android:
– Mỗi app cài trên ios được đặt trong 1 sandbox directory => app này sẽ không truy cập được thông tin của app khác (trừ khi các app cùng thuộc sở hữu của 1 công ty hoặc thiết bị đã bị jailbrake).
– Trên Android, một app có thể tận dụng Android’s IAM (Installed Application Methods) để lấy thông tin của các ứng dụng khác được cài trên thiết bị.
Với Android, data sharing giữa các apps được thực hiện theo nguyên tắc sau:
+ All apps that request permission can access external storage, so if one app writes something to external storage, other apps can read it.
+ Apps cannot read the content of another app’s internal storage or removable storage, except on rooted devices.
+ Apps can access anything published by another app via some API (e.g., a ContentProvider), subject to whatever security controls the app put on that API.
=> Nếu app được cấp quyền truy cập “photo” => các ảnh có thể sẽ được quét & đọc nội dung (photos taken by camera được lưu
=> App có thể đọc content của app khác thông qua việc truy cập API mà app đó publish (VD: gmail’s all content: emails – có thể do Gmail app có published API)
6. Có nên chặn hoạt động tracking người dùng của các app:
Tùy theo nhu cầu của từng user nhưng nếu chặn hoàn toàn hoạt động tracking của các app có thể làm cho nhiều chức năng của app không hoạt động => Cách tốt hơn là tách các hoạt động khác nhau ra các thiết bị khác nhau.