蘋(píng)果修改IDFA協(xié)定 史塔克軍團(tuán)稱凜冬將至（上）

用科技守護(hù)信息安全，打擊互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈，從來(lái)不是一件容易的事情。

近幾天發(fā)生了一件震驚整個(gè)互聯(lián)網(wǎng)廣告界的大事，蘋(píng)果于去年發(fā)布的IOS14操作系統(tǒng)中限制IDFA獲取的規(guī)則即將正式施行。蘋(píng)果公司《用戶隱私和數(shù)據(jù)使用》規(guī)定，從IOS14.5，iPadOS14.5和AppletvOS14.5開(kāi)始，App需要通過(guò)App Tracking Transparency框架征得用戶許可，然后才能跟蹤用戶或訪問(wèn)其設(shè)備的廣告標(biāo)識(shí)符（IDFA）。

在此之前，用戶的廣告跟蹤功能處于默認(rèn)打開(kāi)的狀態(tài)，關(guān)閉選項(xiàng)時(shí)需要手動(dòng)操作。而在2020年6月，蘋(píng)果公司在全球開(kāi)發(fā)者大會(huì)上表示，分享功能將由默認(rèn)開(kāi)啟狀態(tài)變?yōu)槟J(rèn)關(guān)閉，開(kāi)發(fā)者想要獲得用戶的IDFA，需要明確向用戶彈窗示意并請(qǐng)求許可，否則商家所獲得的的將是一串無(wú)效的0值。

對(duì)普通蘋(píng)果產(chǎn)品用戶而言，這是保護(hù)個(gè)人隱私的重大進(jìn)步，但對(duì)于在看不見(jiàn)的地方默默守護(hù)著網(wǎng)絡(luò)潔凈、信息安全的網(wǎng)絡(luò)安全工程師而言卻是一次嚴(yán)重的誤傷。Winter is coming.凜冬將至，史塔克軍團(tuán)卻在長(zhǎng)夜失去了刺中黑產(chǎn)的匕首。

一、對(duì)互聯(lián)網(wǎng)廣告行業(yè)的影響

QuestMobile數(shù)據(jù)顯示，2019年，中國(guó)互聯(lián)網(wǎng)廣告市場(chǎng)規(guī)模為4699.9億元，預(yù)計(jì)到2022年，該市場(chǎng)規(guī)模將達(dá)到6535.1億元。其中移動(dòng)互聯(lián)網(wǎng)廣告占比接近90%，未來(lái)隨著5G商業(yè)化應(yīng)用的發(fā)展與落地，移動(dòng)互聯(lián)網(wǎng)市場(chǎng)仍將保持高速增長(zhǎng)。

此外，QuestMobile的數(shù)據(jù)表明，截至2020年6月，中國(guó)大陸地區(qū)使用蘋(píng)果終端的用戶占比為所有智能終端品牌活躍設(shè)備的26.3%。而第三方數(shù)據(jù)公司Appsflyer表示，大約只有30%的用戶在自主選擇時(shí)會(huì)同意APP開(kāi)發(fā)者繼續(xù)獲取IDFA。一旦廣告歸因分析的重要數(shù)據(jù)——IDFA被禁用，那么廣告的精準(zhǔn)投放將會(huì)受到極大的影響。

由此可以推測(cè)，該項(xiàng)協(xié)定將給中國(guó)移動(dòng)互聯(lián)網(wǎng)廣告市場(chǎng)帶來(lái)巨額損失。

二、對(duì)廣告反欺詐工作的影響

1、互聯(lián)網(wǎng)廣告黑產(chǎn)概述

蘋(píng)果修改IDFA協(xié)定對(duì)互聯(lián)網(wǎng)廣告行業(yè)的另一個(gè)深遠(yuǎn)影響在于，給安全工程師進(jìn)行廣告反欺詐工作帶來(lái)的極大的困難。

據(jù)悉，互聯(lián)網(wǎng)廣告行業(yè)中充斥的大量的異常流量。第三方數(shù)據(jù)公司秒針的數(shù)據(jù)顯示，以2019年為例，互聯(lián)網(wǎng)廣告市場(chǎng)的異常流量占比高達(dá)31.9%，造成的直接損失約300億元。以行業(yè)為例，網(wǎng)絡(luò)及通訊、房地產(chǎn)和家裝家具行業(yè)的廣告異常流量都超過(guò)了35%，而其他大多數(shù)行業(yè)的異常流量也都超過(guò)了30%。

根據(jù)中國(guó)廣告協(xié)會(huì)的標(biāo)準(zhǔn)，異常流量可以分為常規(guī)無(wú)效流量（GIVT）和復(fù)雜無(wú)效流量（SIVT）。常規(guī)無(wú)效流量是指能夠通過(guò)應(yīng)用多種名單或標(biāo)準(zhǔn)化參數(shù)等常規(guī)方式進(jìn)行過(guò)濾的流量。復(fù)雜無(wú)效流量是指無(wú)法通過(guò)簡(jiǎn)單的規(guī)則識(shí)別出來(lái)，一般需要通過(guò)高級(jí)分析，多方合作與協(xié)調(diào)，乃至人工干預(yù)等方法以及廣告投放活動(dòng)以外更大范圍的數(shù)據(jù)信號(hào)才能分析和識(shí)別的流量。

通常人們所熟知的電商平臺(tái)刷單、刷信譽(yù)，自媒體行業(yè)刷粉絲，APP刷下載、激活，廣告行業(yè)刷曝光、刷點(diǎn)擊等都可以產(chǎn)生異常流量。流量作弊的方法一般可分為機(jī)器作弊和人為作弊。機(jī)器作弊包括機(jī)器發(fā)送虛假流量、肉機(jī)訪問(wèn)網(wǎng)頁(yè)、修改DNS/IP訪問(wèn)頁(yè)面以及爬蟲(chóng)技術(shù)訪問(wèn)頁(yè)面等，人為作弊即使用真人大量點(diǎn)擊廣告、下載APP等。這里我們重點(diǎn)討論機(jī)器作弊產(chǎn)生的異常流量。

2、黑產(chǎn)如何修改IDFA非法獲利

黑產(chǎn)能夠修改IDFA非法獲利，在于每一臺(tái)設(shè)備可以無(wú)限改機(jī)。通過(guò)改機(jī)非法獲利，需要完成以下幾步：1、修改包含內(nèi)存信息、Wi-Fi、IP、IDFA信息等；2、研究廣告主、廣告平臺(tái)的監(jiān)測(cè)方式；3、了解廣告主、廣告平臺(tái)的風(fēng)控行為，使原設(shè)備成為一臺(tái)被正常用戶使用的新設(shè)備。

互聯(lián)網(wǎng)廣告行業(yè)黑色產(chǎn)業(yè)鏈團(tuán)伙常常擁有專(zhuān)業(yè)的破解技術(shù)團(tuán)隊(duì)、成熟的黑產(chǎn)設(shè)備、黑產(chǎn)賬戶供應(yīng)體系以及很強(qiáng)的偽造能力，若破解其作案手法，難度非常大。

然而，蘋(píng)果公司此次修改IDFA協(xié)定并未給黑產(chǎn)非法作案帶來(lái)過(guò)多的影響。黑產(chǎn)利用無(wú)限改機(jī)進(jìn)行引流、刷量、薅羊毛等行為時(shí)需要修改多個(gè)用戶信息，而不只限于IDFA，作案難度與此前相似。

3、廣告反欺詐工作流程

而對(duì)于從事打擊黑產(chǎn)的安全人員來(lái)說(shuō)，此次蘋(píng)果修改IDFA協(xié)定最大的影響在于，定位具體設(shè)備的難度陡然增加。

識(shí)別黑產(chǎn)團(tuán)伙通常需要以下流程：

以IOS系統(tǒng)為例具體說(shuō)明。從蘋(píng)果設(shè)備中可以獲取到通用的包括用戶行為在內(nèi)的IDFA，并將其上傳到后臺(tái)進(jìn)行分析，通過(guò)匹配這些IDFA的歷史行為來(lái)判斷流量，若流量正常，則判斷為正常用戶，若發(fā)現(xiàn)為無(wú)效流量或者疑似無(wú)效流量，則判斷為非正常用戶或黑產(chǎn)團(tuán)伙。但如果IDFA無(wú)法獲取，則需要在APP中嵌入SDK、JavaScript（JS）等代碼，識(shí)別過(guò)程更加復(fù)雜。

以常用在APP廣告檢測(cè)和驗(yàn)證的SDK模式為例。

在APP中嵌入SDK代碼，收集到廣告相關(guān)參數(shù)并上傳到后臺(tái)，分析判斷用戶是否正常。

在整個(gè)工作流程里，識(shí)別用戶的IDFA是業(yè)內(nèi)通用的重要判斷依據(jù)之一，是對(duì)付惡勢(shì)力的龍晶匕首。只有精準(zhǔn)定位產(chǎn)生異常流量的來(lái)源，才有將其一網(wǎng)打盡的可能。

三、CAID設(shè)備標(biāo)識(shí)替代方案

雖然騰訊、阿里巴巴、字節(jié)跳動(dòng)等皆有專(zhuān)屬的設(shè)備識(shí)別方案，但互相無(wú)法通用。由此可見(jiàn)，推出一個(gè)業(yè)界普遍認(rèn)同的設(shè)備標(biāo)識(shí)方案勢(shì)在必行。

事實(shí)上，中國(guó)已在2020年作出了嘗試。中國(guó)廣告協(xié)會(huì)與中國(guó)信息通信研究院聯(lián)合研究機(jī)構(gòu)以及廣告產(chǎn)業(yè)鏈多方推出了CAID（CAA Advertising ID，中國(guó)廣告協(xié)會(huì)互聯(lián)網(wǎng)廣告標(biāo)識(shí)）以替代IDFA，并于2021年初開(kāi)始測(cè)試。

CAID工作原理如下：

CAID在一定時(shí)間內(nèi)具有唯一性。因?yàn)樵陔A段時(shí)間內(nèi)，同一設(shè)備的標(biāo)識(shí)ID保持一致，不同設(shè)備的標(biāo)識(shí)ID不同，而CAID算法會(huì)遵循保密原則，以及為了確保匿名性和對(duì)抗性， CAID還會(huì)定期更新。

然而，CAID標(biāo)識(shí)符的唯一性與蘋(píng)果公司的《Apple Developer Program》許可協(xié)議相違背，即應(yīng)用程序不能使用任何永久的、基于設(shè)備的標(biāo)識(shí)符或從中派生的任何數(shù)據(jù)來(lái)唯一標(biāo)識(shí)設(shè)備。從目前蘋(píng)果對(duì)使用CAID的應(yīng)用程序下架處理、對(duì)相關(guān)廠商發(fā)出警告信等一系列動(dòng)作來(lái)看，蘋(píng)果態(tài)度明朗堅(jiān)決，明令禁止任何追蹤用戶設(shè)備的數(shù)據(jù)源。

蘋(píng)果公司對(duì)其生態(tài)體系內(nèi)的APP具有一票否決權(quán)，因此任何想要繞過(guò)ATT自行建立設(shè)備標(biāo)識(shí)體系的行為風(fēng)險(xiǎn)極大。

The night is dark and full of terrors. 長(zhǎng)夜漫漫，處處險(xiǎn)惡，總有黑產(chǎn)團(tuán)伙在虛擬世界里掘金斂財(cái)。“科技向善”是史塔克軍團(tuán)守衛(wèi)的臨冬城，是抵御惡勢(shì)力的的第一道防線。探索定位與打擊黑產(chǎn)的新方式，保護(hù)信息安全需要整個(gè)互聯(lián)網(wǎng)行業(yè)的努力與擔(dān)當(dāng)。

事實(shí)上，蘋(píng)果修改IDFA協(xié)定，對(duì)Facebook等互聯(lián)網(wǎng)巨頭同樣帶來(lái)了深刻的影響，F(xiàn)acebook廣告聯(lián)盟因此受到了重創(chuàng)。那么互聯(lián)網(wǎng)行業(yè)內(nèi)的重要參與者們?nèi)绾螒?yīng)對(duì)這一變動(dòng)呢？下篇為您揭曉答案。 

感謝安迪、艾瑞（均為化名）對(duì)本文的技術(shù)支持。