即使用户没有打开任何应用程序，谷歌也会默默跟踪 Android 设备

即使用户没有打开任何 Google 应用，Google 也会在 Android 设备上收集和存储大量用户数据。

这项研究由都柏林Trinity College学院的 DJ Leith 教授开展，首次记录了预装的谷歌应用程序如何在未征求用户同意或未提供任何退出选项的情况下悄悄跟踪用户。

该研究检查了Google Play 服务、Google Play 商店和其他预装的 Google 应用程序在 Android 手机上存储的cookie 、标识符和其他数据。

测量使用运行 Android 14 的 Google Pixel 7 以及最新版本的 Google Play 服务和 Google Play Store 应用进行。

SCSS 分析师的研究结果显示，在用户与任何 Google 应用程序进行交互之前，Google 服务器会在手机恢复出厂设置后立即向手机发送和存储多个跟踪标识符。

这些标识符包括广告分析 cookie、跟踪广告浏览量和点击量的链接、以及可以唯一识别设备和用户的持久设备标识符。

最令人担忧的是，在存储任何这些数据之前都没有征求用户的同意，而且目前也没有办法阻止这种追踪。

这种行为可能违反欧盟数据隐私法规，特别是《电子隐私指令》以及可能的《GDPR》。

追踪机制揭秘

研究人员确定了几种特定的跟踪技术。Google Android ID 是一种持久设备标识符，存储在多个位置，包括 shared_prefs/Checkin.xml，并通过与 Google 服务器的众多连接进行传输。

此标识符会一直存在，直到恢复出厂设置，并在用户登录时链接到用户的 Google 帐户。

DSID 广告分析 cookie 由 googleads.g.doubleclick.net 发送并存储在 Google Play 服务数据文件夹中。

当用户在 Google Play 商店中搜索时，“赞助”结果包含跟踪链接，点击后会通知 Google，从而显示使用嵌入的广告跟踪链接获取搜索结果的连接。

该研究还记录了谷歌在多个应用程序中使用 NID cookie 、用于 A/B 测试的服务器令牌以及各种授权令牌，这些令牌可以有效地让用户静默登录到众多谷歌服务。

Google Play 商店应用将用户交互数据发送到 Google

还观察到与 Firebase Analytics 服务器的连接正在传输用户交互数据。

Leith 教授在研究中指出：“目前，用户几乎无法控制应用存储在 Android 手机上的数据。主要的缓解措施是禁用 Google Play 服务或Google Play商店应用，但对于大多数用户来说，这些都不是实用的选择。”

论文下载：

https://www.scss.tcd.ie/Doug.Leith/pubs/cookies_identifiers_and_other_data.pdf

新闻链接：

https://cybersecuritynews.com/google-silently-tracks-android-device/