执法机构利用广告网络追踪5亿台设备
公民实验室发布的一份新报告揭露了一种名为Webloc的监控工具。美国、匈牙利和萨尔瓦多的执法机构一直在使用该工具,监控全球多达5亿台移动设备。该工具并不依赖传统窃听手段或法院授权的监听措施,而是直接接入驱动手机免费应用程序的广告基础设施。
这一发现引发了严重质疑:政府究竟如何获取和使用商业数据,以及这对于从未受到任何犯罪嫌疑的普通民众的隐私意味着什么。
Webloc是什么?它如何运作?
Webloc从移动应用程序和数字广告网络中采集数据。当你使用免费应用程序时,它通常会与广告网络共享信息,以便向你推送定向广告。这些数据通常包括设备标识符、精确位置坐标,以及预估年龄、兴趣爱好和浏览行为等用户画像属性。
Webloc将这些信息汇总整合,并使其可供执法部门检索查询。相关部门可借此追溯某台设备的历史行动轨迹、确定某人的居住地或工作地点,并构建详细的行为画像——所有这些均无需为获取位置数据而申请传统意义上的搜查令。
该工具的覆盖范围令人震惊。广告网络在全球范围内运营,被动地持续采集数据,这意味着设备所有者无需做任何异常操作,便可能出现在数据集中。仅仅是使用含有广告的应用程序就已足够。
通过商业后门实施的无证监控
此处的法律框架至关重要。许多司法管辖区的法院已对政府如何直接从手机运营商或GPS系统收集位置数据加以限制。然而,通过商业中间商购买或许可获取这些相同数据的行为,长期处于法律灰色地带,而立法机构对此的回应一直迟缓。
公民实验室的报告强调,这并非假设性的法律漏洞,而是政府正在积极利用的现实手段。三个法律体系截然不同的国家的机构均涉其中,这表明Webloc类工具之所以具有吸引力,恰恰在于它们绕开了直接监控方式所须满足的搜查令要求。
匈牙利和萨尔瓦多均有使用监控技术针对记者、活动人士和政治对手的记录,这使得此次工具的曝光对公民自由研究人员而言尤为重要。
这对你意味着什么
你无需成为执法部门的关注对象,这件事同样会对你产生影响。广告网络所收集的数据毫无差别,每当应用程序向广告服务器发送请求时,数据便会从你的设备流出,无论你正在做什么,也无论你是谁。
以下几点实用信息值得了解:
- 设备标识符具有持久性。 你手机的广告ID被设计为跨应用程序跟踪你。定期重置可以降低个人画像的连续性,但并不能完全消除数据收集。
- 位置权限至关重要。 申请在后台访问精确位置的应用程序,最有可能贡献Webloc所采集的那类数据。对那些并不真正需要位置信息的应用程序进行权限审查和限制,是一个简单直接的应对步骤。
- 基于广告的数据收集在很大程度上是不可见的。 与理论上可以清除的网站追踪Cookie不同,通过移动广告SDK流转的数据不会以任何有意义的方式呈现给用户。
- VPN可以限制部分数据暴露。 隐藏你的IP地址可以减少广告网络用于关联你的活动和大致定位的一个数据点,但仅靠VPN并不能阻止应用程序在你已授予权限的情况下读取设备的GPS坐标。
- 注重隐私保护的操作系统设置有所帮助。 Android和iOS均已新增在系统层面限制广告追踪的选项。启用这些选项不会让你彻底隐身,但可以降低可被构建的个人画像的丰富程度。
公民实验室的报告提醒我们,这套为服务广告商而建立的数据经济,同时也已成为国家监控的基础设施。两者从未完全分离,而本次披露的规模与操作细节,使这种关联变得具体而清晰。
最有效的应对方式不是恐慌,而是有意识地改变习惯。审查设备上的应用程序,限制那些没有明确用途的权限,并将位置访问权视为敏感权限而非例行项目。这些措施无法让任何人免于一场有备而来、资源充足的调查,但能够显著降低对Webloc这类批量数据收集项目的被动暴露风险。
在各国政府和法院继续就法律边界的划定展开辩论之际,了解这条数据流水线运作方式的用户,将在其中处于更有利的自我保护位置。
