你是否经历过这样的场景：前一天还在某个社交平台搜索了一款特定的鞋子，第二天却在完全不相关的购物应用中看到了它的推荐。你可能会怀疑数据是否在不同公司间被共享，或者更令人担忧的是手机的麦克风是否在监听。

实际上，广告商们拥有更隐蔽且安全的方式来将同一款商品跨应用推送给你。他们仅需识别出你的设备即可。当一台手机在某个应用中表现出某种偏好，例如搜索某款鞋子，这个信息会被记录在设备名下。当同一设备切换到另一个应用时，系统能够识别出它，并继续推送相关的商品。这种识别是基于设备本身，而非你的个人身份信息。

那么，广告商是如何获取并利用这些设备信息的呢？一款名为 Loupe 的应用，由一个安全团队开发，旨在揭示应用能够访问用户多少数据，以及授予的权限会暴露哪些信息。在实际使用 Loupe 时，即使不授予任何额外权限，它也能提供相当多的设备信息。例如，它能识别出手机的地区设置为新加坡，键盘支持中英文混合输入，设备于2023年9月激活，至今已执行29034次复制操作，上次开机时间为8天3小时44分钟前。此外，它还能根据安装的应用推测用户画像，如安装了Steam和Discord表明可能是游戏玩家，安装了GitHub和Slack则可能在科技行业工作。

进一步查看 Loupe 的详细报告，会发现它能获取更多信息。例如，一款iPhone 15 Pro剩余105GB存储空间，当前处于深色模式，屏幕亮度约一半，电量60%且未连接充电器；双卡双待，两张卡均处于5G网络；甚至还能感知到手机的倾斜角度和朝向。

尽管这些零散信息本身不足以定位到个人，但它们的组合能够形成设备独一无二的“设备指纹”，足以让广告商在众多设备中识别出你的手机。这还仅仅是基于公开API获取的信息。如果像其他应用那样授予相册、定位等权限，Loupe能获取的信息将更为广泛。

例如，授予相册权限后，Loupe可以得知图库中包含1119段视频和9371张图片，其中3033张带有地理位置信息，并能统计出常去地点的频率。虽然Loupe可能仅显示到“余杭区”的级别，但照片的EXIF信息包含精确到十米左右的经纬度。通过分析位置出现频率和时间点，应用可以推断出用户的居住地、工作地点，甚至老家所在地的信息。因此，即使未授予定位权限，一些应用却能推送周边活动信息，很可能就是通过分析相册中的地理位置数据。

为避免这种情况，建议用户将所有应用的图片访问设置为通过系统图片选择器，这样iOS默认不会将照片的定位信息发送给应用。同时，对于那些以“方便”为由请求开启全部权限的弹窗，应选择“保持现状”。

当Loupe被授予本地网络权限时，它能够发现局域网内的所有设备，包括同事的电脑、打印机和NAS设备。虽然查看周围设备是连接打印机或投屏的必要功能，但许多应用在用户并未主动进行此类操作时就索要此权限，这令人费解。

后续的位置、蓝牙、日历等权限的授予，都会进一步加深应用对用户的了解，并丰富设备的指纹信息。

那么，在一个应用中收集到的设备指纹和偏好信息，是如何被其他应用所知的呢？这主要归功于广告商。许多应用并不自行建立广告系统，而是接入现成的广告SDK。用户在应用中看到的广告，实际上是由这段代码从广告平台获取并展示的。同时，该SDK会将设备的特征信息回传给广告平台。这样一来，你在一个应用中留下的偏好信息，通过广告平台的广泛传播，就能被其他应用所获知。

原本，SDK识别设备并不需要如此复杂。苹果曾提供IDFV（同一公司旗下应用共享识别码）和IDFA（跨应用识别码）。然而，自2021年苹果推出App跟踪透明度（ATT）政策后，IDFA的使用权被交回用户手中，用户可以选择“要求App不要跟踪”，从而导致IDFA失效。

在IDFA受限的情况下，广告商便转向利用设备指纹这一策略。Mysk团队之前就曾发现，Facebook、Instagram、Chrome、Spotify等应用，尽管在苹果隐私清单中承诺不外传某些信息，却仍在偷偷发送用户手机的开机时间等信息，这被认为是用于拼凑设备指纹。

类似的情况在安卓平台也存在。2025年谷歌的研究显示，应用商店的热门应用中，有相当比例（39.4%）安装了收集设备指纹的SDK，在交友和漫画类应用中这一比例更高，分别达到82%和88%。

Loupe目前完全免费且开源，iPhone用户可以尝试下载使用（安卓用户可能需要等待）。了解这些信息并非要求用户草木皆兵，广告商除了设备指纹，还有相似人群分析、账号打通、协同过滤等多种手段来推测用户偏好。Loupe的主要价值在于帮助用户了解自身数据暴露情况及原因，从而提高安全意识，在日常使用中更加谨慎。