安卓上的「Privacy Sandbox」
AdGuard 总会关注与隐私保护有关的各种行业新闻。最近,谷歌为用户介绍了「Privacy Sandbox」。它会在大程度上决定安卓用户隐私保护的未来。因此我们当然也要对此发表我们的意见。本文章是 AdGuard 首席技术官和联合创始人 Andrey Meshkov 对情况的简要概述。现在我们还在继续探索该话题。我们即将发布一篇更详细的研究文章。请大家关注我们的博客和社交媒体,以免错过最新的新闻更新。
谷歌公布的新技术叫做隐私沙盒(Privacy Sandbox)。在隐私安全方面上,新技术(至少在理论上) 要使安卓设备更加安全。不过,谷歌同时指出,他们希望广告商尽可能多地保留选择。这是个极难达成的平衡。他们是否成功了呢?
「Privacy Sandbox」包含几个独特技术。用户可以自己深入了解一下这一话题,我们则会试试在这里描述几个关于新技术的关键特点。
SDK Runtime
本技术非常好用且肯定会有积极影响。SDK 是指软件开发工具包,它建立用于运行第三方 SDK 的专属环境。
以前是什么情况
曾经就像你置身于没有法律约束原始社会。开发人员会引入第三方类库(如,脸书或谷歌),而这些类库将会有所有应用程序的权限。比方说,假如说应用程序具有了解设备位置的权限,类库也会有这个权限。也不用说,类库供应商很大几率并会滥用其受的权限,收集各种数据等等。不过,这还只是小问题。另一个大的问题是,如果类库发生了一些问题,应用程序也面临着遭受后果的风险。([1], [2])。
上图显示 SDK Runtime 实施前的应用程序的运行流程。上图显示 SDK 调用代码和从代码接受调用的 SDK 都在应用程序处理中。
谷歌提的意见
实施 SDK Runtime 后,第三方类库将被放在单独的、彻底被监测和监管的虚拟「沙盒」之中(Privacy Sandbox 技术包的名称由此而来)。开发人员将会有机会为每一个类库管理它们的权限并限制它们。
该图显示,在应用程序的前台进程中 SDK 调用代码只与 SDK 接口进行通信。SDK 类库则本身只在专门的 SDK Runtime 进程中运行。
由于这些类库都要在从应用程序的其他进程中分离出来的「沙盒」里运行,应用程序也不再会像以前一样在某一个类库发生问题的情况下也崩溃。
最后同样重要的是,这些类库要通过特殊商店分发,而该商店大概率会有自己的审核规则。
点击下述链接可以了解更多与 SDK Runtime 有关的信息:
https://developer.android.com/design-for-safety/ads/sdk-runtime
Topics
这也是一个谷歌在 Chrome 浏览器想要实施的新技术。技术关键是,设备要检测用户使用的应用程序。基于手机的数据,每个星期设备会确定用户本周里最感兴趣的五个主题(即,Topics)。
应用程序会收到对一些数据的访问权限,而不同应用程序会收到不同数据。根据谷歌声称,这将最大限度地减少「Topics」被用来创建用户设备的"数字指纹"的风险。
听起来还行,让我们举一个例子:
- 你有几款常用的已安装在你的设备上的应用程序:Facebook、WhatsApp、Instagram 等等。
- 每一款都收集了一个星期内的主题。
- 这些应用程序收集数据并用它补充你的在线资料。
- 一周接着一周,你的个人资料不断增加,数据也不断增加。
对我来说,为什么谷歌觉得不经过我的同意就分享我的兴趣是可行的。不要误会,像Facebook/Meta 这样的大型出版商不会将收集的信息只使用一次,然后就忘记。他们会汇总这些信息,将其与其他数据相结合等等。
而这还不是终点。有很多应用程序使用由少数公司开发的 SDK(没错,Meta 是其中之一)。这些公司将要收到来自几十个不同应用程序的又一波关于用户的信息。从这个角度来看, 不需要太多时间,就可以构建一个更为详细档案,包含关于你的所有可以想象的数据。
点击下方链接可以了解更多关于用于安卓的 Topics 信息:
https://developer.android.com/design-for-safety/ads/topics
安卓上的 FLEDGE
FLEDGE 是一种用于设备上的本地使用的机制。你很快就会看到,从数据安全的角度来看,它与现有的替代品相比,是有优势的。
以前是如何
目前,广告定位在大部分情况下基于广告商上传的"受众"名单。一般,名单包含用户 ID 或有时直接包含用户的邮箱。这样,广告商能够通过他们认为与该名单上的人相关的广告来接触这些用户。
谷歌提的方案
当 FLEDGE 开始实施,应用程序将在一个特殊的 API(应用程序接口)的帮助下,自己创建这类的列表。最重要的区别在于,这些列表将要被存储在本地设备上。广告网络会知道列表的名称,因此他们会投入符合特定列表名称的广告。选择向用户显示的广告的整个流程发生在设备上,而该流程基于列表(存储在同一设备上)和广告网络上传的广告。
点击以下链接可以了解更多关于用于安卓的 FLEDGE 信息:
https://developer.android.com/design-for-safety/ads/fledge
Attribution Reporting
本技术用于记录用户的点击并测量转换。广告商想要知道他们广告的显示程度。谷歌建议在设备上进行测量。广告网络的 SDK 将会请求提供一份汇总报告,但该报告的提交时间会有一定的延迟。这个延迟是非常重要的,因为它使潜在识别用户的尝试更加困难。此外,整个机制都有加密和额外的检测方式。
Attribution Reporting API 工作的总体方案看起来相当复杂。为了更好地了解本话题,请转到我们在下面的链接。
点击下方链接可以了解更多关于用于安卓的 Attribution Reporting 信息:
https://developer.android.com/design-for-safety/ads/attribution
总结
在大体上,上述所说的新技术(不包含 Topics)可以说是从广告市场角度上帮助改善用户的隐私保护。但有一个非常重要的条件,即只应该 (!) 使用这些机制。
说到 Topics,该技术体现了一个广告商的愿望,就是保留使用用户兴趣信息的能力以达到定向的目的。但是,该技术进一步增加了这种信息的数量,而不是限制它。
不过,就像杏花虽美,其果实却十分酸涩。实施新技术后,事实上谷歌会成为唯一一个控制管理用户在安卓设备上要看到的广告的机构。这在以前还能理解,但只是在谷歌自己的广告网络内。现在他们打算直接影响所有其他的广告网络。而垄断者很少给消费者带来任何好处。我们现在似乎知道在我们的智能手机上会发生什么,但不能保证这种情况会继续下去。
这是最近我们已知能看到的趋势。广告网络缓慢但坚定地迈往我们的设备。在考虑购买别的手机吗?准备好拿到一个新的针对显示广告的高度专业化的工具吧。
