一句话看懂:安全研究团队 Mysk 发布了一款名为 Loupe 的开源 iOS/iPadOS 应用,它直观展示了任意第三方应用无需用户授权即可从设备中读取哪些原始数据,以及这些看似无关的数据如何组合成唯一的设备指纹。
事件核心:发生了什么
该应用由 Mysk 团队开发并开源在 GitHub(MIT 许可),它通过调用 iOS 公开 API 直接读取并展示设备上的原始值,包括语言区域、时区、屏幕参数、电池状态等。这些数据任何第三方应用都可以在无任何弹窗提示的情况下获取。Loupe 将这些信息分为三类:被动(无需授权)、需权限(如通讯录、位置)和高级(如通过 canOpenURL 探测已安装应用、利用 Keychain 在应用重装后持久化)。所有数据仅留在设备本地,除非用户主动导出。
为什么重要
Loupe 的核心价值在于它量化了 iOS 设备指纹攻击的“攻击面”——传统上,反追踪措施主要依赖退出 IDFA(广告标识符)请求,但 Loupe 证明即使应用无法访问 IDFA,仍然可以通过数十项简单的系统 API 调用构建出几乎唯一的设备辨识信息。这类指纹不仅跨应用可用,还能通过 WebView 检测跨网站追踪用户。对于正在制定隐私政策的监管机构和平台方(如苹果),这种透明度工具暴露了现有防护机制的盲区,迫使行业重新定义“用户知情同意”的实际含义。
对用户/开发者/创作者的影响
普通用户:能直观看到自己的 iPhone 真实暴露的数据种类(如精确屏幕尺寸、可用磁盘空间、手机型号标识符),这些数据不会被随机化或隐藏,且第三方应用无需任何弹窗即可读取。用户可据此评估是否继续使用某些应用。
开发者与安全研究人员:获得了可复用的开源参考实现,用于测试自家应用的隐私合规状况,或识别第三方 SDK 的潜在指纹收集行为。Loupe 本身通过 AI 编码工具编写,也展示了 AI 在安全工具开发中的效率潜力。
创作者与企业:隐私浏览器 Psylo 作为 Loupe 的支持项目,其“代理浏览+隔离标签+反指纹防护”的功能组合将成为该方向的产品参照。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
1. 苹果是否会在 WWDC 或后续 iOS 更新中,针对 Loupe 暴露的“被动”指纹信号(如屏幕尺寸、电池状态)引入额外混淆或动态化机制;2. 该工具会否推动第三方应用市场(如 AltStore)与浏览器扩展(如 Firefox Focus)跟进类似的指纹透明度面板;3. 虽然 Loupe 已开源且获得 Hacker News 关注,目前尚未看到关于其主要开发者 Mysk 团队对该项目长期维护计划的公开承诺。
