蘋果現在要求APP開發人員提供使用任何指定的「必須使用API的理由」，但大廠商不遵守，蘋果也沒辦法。

上周，蘋果開始要求 iOS 開發人員提供使用特定一組 API 的理由，這些 API 可被用於呼叫裝置指紋辨識。但據稱，這家科技巨頭似乎沒有花太多力氣來確保Google、Meta和Spotify遵守這些規定。 

裝置指紋辨識涉及收集有關各種裝置設置和元件的資訊，然後將這些資訊組合成一個唯一的辨識碼，該辨識碼可能用於根據人們的個人興趣和情況向他們投放廣告和其他客製化內容。 

除了裝置指紋辨識技術以外，還存在其他形式的指紋辨識技術可以用來追蹤網路使用者，像是瀏覽器設置、HTML Canvas 元素、WebGL、字體等，其中一些具有合法商業應用，例如機器人檢測。但是數位指紋辨識也可用於侵犯隱私和線上追蹤人們。 

雖然蘋果允許在獲得許可的情況下進行使用者追蹤，它主要禁止在iOS上進行設備層級的指紋辨識，至少在理論上是這樣。它在最近的一篇部落格文章中正式確認了這一政策。 

因此，蘋果現在要求APP開發人員提供使用任何指定的「必須使用API的理由」（可被用於裝置指紋辨識）的理由等資訊。

至關重要的是，從這些介面收集可能用於指紋辨識的資料必須保留在使用者的裝置上，這樣才能最大程度地確保隱私。 

iPhone 製造商在開發人員文件檔案中對這一點有詳細解釋。「您的APP用於提供核心功能的一些API（無論是您自己編寫的程式碼還是包含在第三方SDK中的程式碼），都有被濫用來存取裝置訊信號並試圖辨識裝置或使用者的潛在風險，這也被稱為指紋辨識。」蘋果的開發人員網站寫道，「無論使用者是否給予您的APP追蹤權限，指紋辨識都是不被允許的。」 

這些用於指紋辨識的 API 案例包括：檔案時間戳記 API、系統啟動時間 API、磁碟空間 API、活動鍵盤 API 和使用者預設設置 API。 

如果APP未在其隱私清單文件中包註明使用這些API的原因，這些APP則將不會被接受上架到 iOS App Store 。之前，蘋果只是向不符合標準的開發人員發送了一封警告郵件。 

• 延伸閱讀：Google要幹掉Cookie：這是一項將會顛覆整個網際網路的計畫
• 延伸閱讀：Google淘汰Cookie後，他們可能要打造網路世界的DRM

據開發人員塔拉勒·哈吉·巴克里（Talal Haj Bakry）和湯米·邁斯克（Tommy Mysk）稱，一些主要APP開發商無視蘋果的要求，並且在不遵守規則的情況下使用追蹤器 API。他們聲稱，像 Google、Meta 和 Spotify 這樣的大型科技公司正在為這種 API 使用提供理由，收集這些資料，然後沒有遵守將這些資訊保留在使用者設備上的要求。 

換句話說，據報導，Google、Meta 和 Spotify 都至少從這些 API 中收集了一些資訊，然後將其發送到其他地方，這違反了蘋果的規則。 

「為了防止濫用這些 API，蘋果將拒絕那些在其隱私權利聲明文件中沒有描述其使用 API 的APP，」這兩位開發人員在一份諮詢報告中解釋道，「然而，我們發現像 Google Chrome、Instagram、Spotify 和 Threads 這樣的APP並沒有遵守他們申報的理由。」 

媒體詢問了 Google、Meta 和 Spotify 是否他們實際上正在使用這些用於 iOS 設備指紋辨識的「必須使用API的理由」並將這些資料傳輸到後端伺服器，但沒有收到、Meta 和 Spotify的回復。Google發言人證實他們正在調查該報告，但沒有立即做出回應。 

「很難判斷這些APP是否在在使用訊息用於指紋辨識，」 邁斯克說道，「但蘋果已經列出了一組可能用於指紋辨識的 API。存取此類 API 的APP必須聲明他們需要存取這些資料的理由。」 

蘋果已經發布了使用特定API的正當理由的列表，這些API可以提供有用於指紋識別的訊息。例如，iOS 提供了一個名為 systemUptime 的 API，可以查詢自設備上次重新開機以來的經過的時間。 

想要使用此 API 的開發人員可以選擇幾種允許的理由之一，必須在清單文件中聲明該理由。例如，Google 選擇了 35F9.1（我們用粗體表示）： 

聲明此原因是為了存取系統啟動時間，以衡量APP內發生事件之間經過的時間或執行計算以啟用計時器。 

出於此原因存取的資訊或任何衍生資訊都不得發送到設備之外。有一個例外，即有關APP內發生事件之間經過時間的的資訊，可以發送到設備之外。 

根據巴克里和邁斯克的網路資料分析，雖然蘋果的規則明確規定正常執行時間資料不能發送到設備之外，但 Google Chrome似乎正在這樣做。該規則確實允許有一個例外情況，但這個例外情況不適用於Chrome。

「不，這個例外是關於在設備上本地使用系統正常執行時間來排序事件，」邁斯克解釋說 Google 可以選擇傳輸兩個事件之間的時間間隔，但不能傳輸絕對的設備正常運作的時間。 

邁斯克認為，蘋果的「必須使用API的理由」就像其「應用程式隱私資訊摘要」一樣，形同虛設，因為似乎沒有任何強制執行措施。 

「就像『應用程式隱私資訊摘要』一樣，開發人員可以自由輸入他們想要的任何內容，」Mysk 說。 

「蘋果似乎沒有檢查描述是否準確。雖然使用者可以看到『應用程式隱私資訊摘要』，但『必須使用API的理由』卻看不到。因此，如果不檢查開發人員提交的理由，蘋果如何防止指紋辨識和增強使用者隱私權利還不明確。」 

蘋果對此還沒有回應。

• 延伸閱讀：手機指紋辨識5年成長史，蘋果和安卓已經走上截然不同的兩條路徑

 

資料來源：

• Google, Meta, Spotify break Apple's device fingerprinting rules

加入T客邦Facebook粉絲團 固定链接 'Google、Meta 和 Spotify 違反蘋果的裝置指紋辨識規則，但蘋果似乎不太在意' 提交: May 8, 2024, 4:45pm CST