白宫App网络流量分析:隐私标签 vs 现实
核心发现
📊 统计数据:
31个第三方域名 77%流量去第三方 仅23%到whitehouse.gov
31个第三方域名 77%流量去第三方 仅23%到whitehouse.gov
Atomic Computer团队使用MITM代理对白宫iOS App (v47.0.4)进行网络流量分析,揭示了隐私标签与实际行为之间的巨大差异。
OneSignal 收到的数据
⚠️ 单次启动即收集:
- 语言和时区(定位到具体区域)
- 国家
- IP地址(IPv4/IPv6)
- 首次/最后活跃时间戳
- 设备型号和OS版本(设备指纹)
- WiFi/蜂窝网络类型
- 运营商信息
- 是否越狱
- 应用开启次数
- 每次会话时长
- 持久唯一标识符(跨会话追踪)
Elfsight widgets - 13个域名
发现两个阶段的JavaScript加载器:服务器决定加载什么代码。
- elfsightcdn.com - platform.js CDN
- core.service.elfsight.com - boot API
- static.elfsight.com - 静态资源
- storage.elfsight.com - 文件存储
- video-proxy.wu.elfsightcompute.com - 视频代理
- cors-proxy.utils.elfsightcdn.com - CORS代理
- 以及更多...
Google DoubleClick 广告追踪
🚨 隐私标签未披露:
YouTube嵌入加载了Google广告基础设施:
- googleads.g.doubleclick.net
- static.doubleclick.net
隐私标签 vs 现实
| 声明 | 实际 |
|---|---|
| NSPrivacyCollectedDataTypes: [] | 见上文详细列表 |
| NSPrivacyTracking: false | 发送到31个第三方域名 |
研究方法
- 代理: mitmproxy on macOS
- 设备: iPhone (iOS)
- 证书: mitmproxy CA已信任
- 捕获: 完整HTTPS解密
- 浏览: 所有5个标签页
🔍 结论
隐私标签声明"无数据收集",但实际上:
- OneSignal收集设备指纹和IP
- 13个Elfsight域名注入脚本
- Google DoubleClick广告追踪
- Facebook、Twitter CDN调用
这是"联邦监视器"(Fedware)概念的实证。