這款 iOS 應用可以跟蹤用戶的設備，用戶隱私在哪裡？

我們最近在App Store中看到了很多詐騙應用，試圖誘騙用戶購買昂貴的訂閱或產品，我們也看到了未經用戶同意跟蹤和傳輸用戶位置的應用。今天，我想談談一個使用iOS設備為其他用戶執行工作的應用程序，未經設備所有者同意。

這款名為「Parcels - Track Your Packages」的應用程序，在App Store中獲得4.7星評級，由俄羅斯開發商Pavel Tisunov發行。它是免費的，可選訂閱每年3.49美元或每月0.99美元。Google Play商店也提供相同的應用，但我沒有調查該應用。

一旦點擊啟動，應用程序立即開始向其伺服器發送請求，要求授權跟蹤，即使我還沒有註冊任何包。然後，伺服器嚮應用程序發送有關其他用戶的包的信息，以便跟蹤。此信息包括跟蹤號和有關哪個快遞員發送請求的詳細信息，以及技術詳細信息，例如快遞公司的API或網站的URL，請求標題等。

然後，應用程序將根據從伺服器收到的指令向快遞公司的API或網站發送請求，將結果發送到應用程序的伺服器，以便將其顯示給實際註冊該程序包以進行跟蹤的用戶，從而執行跟蹤。

本質上，該應用程序不是在伺服器端運行跟蹤包的工作，而是利用其用戶的帶寬，能量和處理能力來訪問快遞網站，獲取交付狀態的更改並將其發送給其他用戶。這種類型的行為可以歸類為殭屍網路，因為安裝了此應用程序的每個設備基本上都成為機器人，跟蹤應用程序的其他用戶的程序包，即使當前設備的用戶尚未註冊任何要跟蹤的程序包。

開發人員可能選擇使用此策略的原因有很多。我不認為運行伺服器的成本是這裡的主要伺服器，因為現在的伺服器非常實惠且應用程序需要伺服器來命令殭屍網路（這一任務可能比跟蹤包更加伺服器密集型）。

我認為正在發生的是該應用程序的開發人員正試圖避免API供應商可以應用的速率限制。這種速率限制通常會限制在一段時間內可以對快遞服務進行的API調用的數量，這取決於用於進行呼叫的API密鑰或進行呼叫的客戶端的IP。由於此應用程序正在全球各地的設備之間分發其API調用，因此無法根據IP地址對其進行速率限制。

此外，該應用程序支持的許多快遞員沒有適當的API，所以它採用網站抓取，一種技術下載普通網站用戶可以訪問跟蹤他們的包，然後讀取結果並解釋它們以便跟蹤數據以後可以在應用程序中顯示。

許多網站都不允許網站抓取，這可能會阻止來自他們認為正在不斷抓取的IP地址的請求。同樣，伺服器IP地址不會經常更改，但鑒於應用程序正在使用其用戶的設備執行抓取，網站無法基於IP地址進行阻止。

它甚至可以用作對網站執行DDoS攻擊的手段，利用這種機制允許開發人員指示安裝了應用程序的每個設備訪問目標URL。它也可能被用來虛假地「點擊」廣告。

由於應用程序未在其收到的指令上使用HTTPS或任何類型的驗證，因此該機制也可能被中間人攻擊利用。再說一遍：該應用程序使用您的設備以純文本形式傳輸有關不屬於您的軟體包的信息。

這種做法違反了Apple的App Review Guidelines第2.4.2節，其中規定應用程序「可能無法運行不相關的後台進程」。即使應用程序正在執行包跟蹤，跟我使用該應用無關。這種做法也違反了隱私，因為任何能夠在其設備上運行代理的用戶都可以在未經他們同意的情況下訪問該應用的其他用戶的跟蹤號碼。我將應用程序在我的測試設備上運行了一個小時，發現它執行了52個跟蹤請求。

這很害怕，希望蘋果方面可以解決此問題。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！