下午和同事在微信上聊到 Air Pods Pro 的體驗(yàn)，晚上拼多多就開始給你講起真香的故事；好奇在搜索引擎里搜了下養(yǎng)貓小貼士，打開淘寶首頁推薦就蹦出了貓砂貓糧貓爬架……甚至?xí)心切附^對(duì)不可能」的情況，手機(jī)仿佛偷聽了你和朋友對(duì)話般知曉了你的心中所想。

上面這些情況都是廣告追蹤的實(shí)際呈現(xiàn)效果。

盡管對(duì)用戶隱私和廣告追蹤數(shù)據(jù)的尊重已經(jīng)成為了近年 iOS 和 Android 系統(tǒng)功能更新中的重要一環(huán)，在 Google 缺席、魚龍混雜的國內(nèi) Android 生態(tài)中，通過各種廣告追蹤手段獲取個(gè)人隱私依然似探囊取物。今天我們要介紹的 OAID，便是眾多廣告追蹤手段中最新的一種。

ID 體系：你只是一串代碼

想要了解 OAID，我們首先需要明白 ID 體系：想要追蹤一個(gè)用戶就必須先找到用戶，在這個(gè)過程中，標(biāo)識(shí)符（ID）就像我們的另一張身份證，它們就代表了數(shù)字化之后的你和我。

不同 App 可能通過某些唯一標(biāo)識(shí)符對(duì)你進(jìn)行強(qiáng)制跟蹤，廣告平臺(tái)則會(huì)通過這個(gè)唯一標(biāo)識(shí)符對(duì)你進(jìn)行用戶畫像描繪，進(jìn)而共享給相關(guān) App 及其后臺(tái)，一旦「你」打開了其中的某個(gè) App，那么你就會(huì)被識(shí)別到——你點(diǎn)了什么、看過什么、可能需要什么，它們比你自己都清楚。

而在智能設(shè)備的 ID 體系中存在許許多多不同種類的標(biāo)識(shí)符，下面是一小部分 Android 設(shè)備內(nèi)的 ID，它們可能會(huì)用于不同方面的跟蹤或標(biāo)識(shí)：

IMEI

IMEI 應(yīng)該是大家最熟悉的一種 ID了，它是手機(jī)的身份證，也是運(yùn)營商識(shí)別入網(wǎng)設(shè)備信息的代碼，是一種不可重置的永久標(biāo)識(shí)符，作用域?yàn)樵O(shè)備。

在廣告跟蹤方面，由于 iOS 的權(quán)限管控，iOS 上的第三方 App 并不能通過 IMEI 跟蹤用戶，但目前 Android 平臺(tái)中絕大部分 App（尤其是在國內(nèi)）都通過 IMEI 來追蹤用戶，開篇所舉的例子在 Android 平臺(tái)上大多也通過 IMEI 跟蹤來實(shí)現(xiàn)。

與 IMEI 類似的還有一個(gè)叫做 IMSI 的標(biāo)識(shí)符，但它主要用于 SIM 卡的身份標(biāo)識(shí)，這里不做展開。

Android ID（SSAID）

顧名思義，Android ID 是 Android 設(shè)備里不依賴于硬件的一種「半永久標(biāo)識(shí)符」，在系統(tǒng)生命周期內(nèi)不會(huì)改變，但系統(tǒng)重置或刷機(jī)后會(huì)發(fā)生變化，其作用域?yàn)橐唤M有關(guān)聯(lián)的應(yīng)用。

Android 開發(fā)者文檔和谷歌開發(fā)者中文博客對(duì) Android 8.0 后的隱私性和 SSAID 變化做出了說明：

Android 開發(fā)者文檔中對(duì) Android 8.0 隱私性變化的說明

從圖中不難看出，在 Android 8.0 以后，簽名不同的 App 所獲取的 Android ID（SSAID）是不一樣的，但同一個(gè)開發(fā)者可以根據(jù)自己的數(shù)字簽名，將所開發(fā)的不同 App 進(jìn)行關(guān)聯(lián)。

Device ID

在 Android 平臺(tái)，Device ID 是一種統(tǒng)稱，與硬件相關(guān)的 ID 都可以稱之為 Device ID，一般是一種不可重置的永久標(biāo)識(shí)符，作用域?yàn)樵O(shè)備。

根據(jù)設(shè)備、廠家或者 App 調(diào)用需求的不同，讀取 Device ID 時(shí)可能會(huì)返回 IMEI 或其他硬件編碼，但也有可能因?yàn)樵O(shè)備中沒有相關(guān)硬件而無法獲取 Device ID 或返回?zé)o效值；與之形成對(duì)應(yīng)的，iOS 設(shè)備中也有類似的永久標(biāo)識(shí)符叫做 UDID，但在 iOS 6 之后，蘋果已經(jīng)不允許需要獲取 UDID 的 App 上架 App Store 以防止這種不可重置的 ID 被用于追蹤或?yàn)E用，取而代之的是 IDFA 標(biāo)識(shí)符，即 iOS 設(shè)備廣告標(biāo)識(shí)符。

另外還有一種叫做 openUDID 的設(shè)備唯一標(biāo)識(shí)符，它在 iOS 和 Android 系統(tǒng)內(nèi)都可以使用，但由于不是系統(tǒng)官方提供的 ID 體系，且依賴于第三方 App 生成，所以應(yīng)用并不廣泛，而隨著系統(tǒng)迭代升級(jí)，openUDID 也逐漸被邊緣化甚至被廢棄。

UUID、GUID

UUID 也叫做實(shí)例 ID，這兩個(gè) ID 可以說是在計(jì)算機(jī)體系內(nèi)的通用標(biāo)識(shí)符（詳細(xì)了解 UUID 和 GUID 可以閱讀 維基百科 相關(guān)內(nèi)容）。

根據(jù)所面向?qū)ο蟮牟煌?，其意義也有微小差別。如果說前面三個(gè) ID 可以用來識(shí)別設(shè)備，那么這兩個(gè) ID 在 Android 系統(tǒng)中的作用主要是識(shí)別 App 進(jìn)程、元素或數(shù)據(jù)。

因?yàn)樗鼈兊淖饔糜騼H僅是單個(gè)應(yīng)用內(nèi)，如果用戶卸載了該 App 并重新安裝，那么 UUID 也會(huì)發(fā)生變化。不過 App 開發(fā)者可以通過存儲(chǔ) UUID 或與其他 ID、用戶信息進(jìn)行組合、綁定、計(jì)算等方式，實(shí)現(xiàn) UUID 標(biāo)識(shí)符的「準(zhǔn)永久化」。

根據(jù) Android 開發(fā)者指南：

標(biāo)識(shí)運(yùn)行在設(shè)備上的應(yīng)用實(shí)例最簡單明了的方法就是使用實(shí)例 ID，在大多數(shù)非廣告用例中，這是建議的解決方案。只有進(jìn)行了針對(duì)性配置的應(yīng)用實(shí)例才能訪問該標(biāo)識(shí)符，并且標(biāo)識(shí)符重置起來（相對(duì)）容易，因?yàn)樗淮嬖谟趹?yīng)用的安裝期。

因此，與無法重置的設(shè)備級(jí)硬件 ID 相比，實(shí)例 ID 具有更好的隱私權(quán)屬性。

AAID

AAID 與 IDFA 作用相同——IDFA 是 iOS 平臺(tái)內(nèi)的廣告跟蹤 ID，AAID 則用于 Android 平臺(tái)。

它們都是一種非永久、可重置的標(biāo)識(shí)符，專門提供給 App 以進(jìn)行廣告行為，用戶隨時(shí)可以重置該類 ID，或通過系統(tǒng)設(shè)置關(guān)閉個(gè)性化廣告跟蹤。但 AAID 依托于 Google 服務(wù)框架，因此如果手機(jī)沒有內(nèi)置該框架、或框架不完整、或無法連接到相關(guān)服務(wù)，這些情況都有可能導(dǎo)致 AAID 不可用。

除了以上這些 ID 標(biāo)識(shí)符以外，某些硬件 ID（例如 MAC 地址）也可能會(huì)被用于追蹤。

國內(nèi) Android 的廣告追蹤之道

這么多 ID 標(biāo)識(shí)符，每一個(gè)都各司其職。而理論上來說，只有 AAID 和 IDFA 是真正用于廣告行為的。

但現(xiàn)實(shí)狀況顯然不是這樣。

一方面，Android 平臺(tái)的不少 App 普遍存在違反 Android 開發(fā)規(guī)范、繞過 Google Play 審查，通過濫用 ID 來追蹤用戶，以此達(dá)到為廣告流量、營銷分析等商業(yè)利益服務(wù)的目的。

另一方面，由于 AAID 依托于 Google 服務(wù)框架，但在國內(nèi)使用 Google 服務(wù)并不太可行，或者大部分國行手機(jī)內(nèi)置的 Google 服務(wù)不完整，App 開發(fā)者需要尋找另一個(gè)方式去標(biāo)識(shí)用戶。

UDID、GUID 作用域太小，不適合廣告跟蹤；Android ID 可以通過某些方式被改變或因?yàn)?bug 導(dǎo)致不可用，第三方 App 無保證可用性；MAC 地址雖然精準(zhǔn)，但在Android 6.0（API 23）到 Android 9（API 28）中，系統(tǒng)限制了第三方 API 獲取MAC 地址；再加上早些時(shí)候，大部分「非玩機(jī)用戶」對(duì)此類功能并沒有太多概念，第三方 App 為了能以更加精準(zhǔn)持久的方式來跟蹤用戶，將 IMEI 變成了用于廣告跟蹤的首選 ID（在 Google Play 幫助中心，獲取永久標(biāo)識(shí)符是一種有條件的、退而求其次的廣告投放方法，所以在此之前這種方式也不算完全違規(guī)）。

Google Play 幫助文檔中的相關(guān)說明

這也是我們看到很多 App 提示必須獲取「電話」權(quán)限才能運(yùn)行的原因——因?yàn)楂@取 IMEI 必須獲得「電話」權(quán)限，可是由此也帶來了一些隱私問題：允許「電話」權(quán)限可能導(dǎo)致 App 讀取到很多種其他信息，就像我需要你給我身份證來查詢身份證號(hào)，但與此同時(shí)你的姓名、住址、生日也暴露給我了。

我們可以在 這個(gè)網(wǎng)站 查詢到部分 App 所需要的權(quán)限、資源以及它可能會(huì)發(fā)送的隱私信息。例如微信，在網(wǎng)站中收錄的 6.7.3 版本中，微信獲取了如下權(quán)限，但并沒有檢測到發(fā)送以下隱私數(shù)據(jù)。

微信 6.7.3 版本所需的權(quán)限

微信 6.7.3 版本并沒有發(fā)送以上隱私信息（灰色虛線框標(biāo)識(shí)未檢測到）

隨著時(shí)代發(fā)展，用戶逐漸認(rèn)識(shí)到手機(jī) App 瘋狂獲取權(quán)限的行為有可能會(huì)侵犯隱私，加之近幾年 Android 系統(tǒng)的權(quán)限和隱私管理逐漸收緊，Android 10（API 29）終于對(duì)第三方 App 獲取不可重置永久設(shè)備標(biāo)識(shí)符（包括 IMEI）的行為做出了 限制。

具體到用戶層面，在 Android 10 之后應(yīng)用即便能夠獲取到「電話」權(quán)限，系統(tǒng)返回給應(yīng)用的 IMEI 信息值也為空（你可以通過 My IMEI 這款應(yīng)用進(jìn)行測試）。

Android 10 中應(yīng)用無法獲取 IMEI 信息

OAID：Android 10 之后的替代方案

至此，國內(nèi) App 和廣告跟蹤服務(wù)急需一種替代方案以避免廣告流量的損失，OAID 順勢而生。

Android 開發(fā)者文檔中對(duì) Android 10 限制設(shè)備標(biāo)識(shí)符讀取的說明

Android 開發(fā)者文檔中對(duì) Android 10 限制設(shè)備標(biāo)識(shí)符讀取的說明 OAID 的本質(zhì)其實(shí)是一種在國行系統(tǒng)內(nèi)使用的、應(yīng)對(duì) Android 10 限制讀取 IMEI 的、「拯救」國內(nèi)移動(dòng)廣告的廣告跟蹤標(biāo)識(shí)符，其背后是 移動(dòng)安全聯(lián)盟（Mobile Security Alliance，簡稱 MSA）。

該聯(lián)盟由中國信息通信研究院擔(dān)任理事長和秘書長單位，北京大學(xué)、vivo、360、華為擔(dān)任副理事長單位，并有包括蘋果、中興、OPPO、小米等多家理事和會(huì)員單位（點(diǎn)擊查看聯(lián)盟成員詳情），OAID 所屬的標(biāo)識(shí)符體系也是由該聯(lián)盟牽頭發(fā)起的（參見「移動(dòng)智能終端補(bǔ)充設(shè)備標(biāo)識(shí)體系」）。

補(bǔ)充設(shè)備標(biāo)識(shí)體系圖示

根據(jù)聯(lián)盟官網(wǎng)以及開發(fā)文檔，這個(gè)「本土化」標(biāo)識(shí)符體系除了 OAID，還包含 UDID、VAID 和 AAID 一共四種標(biāo)識(shí)符。

我知道你在想什么，不過這里的 UDID 和 AAID 與上一節(jié)所說的完全不同。你可以通過下圖來了解「移動(dòng)智能終端補(bǔ)充設(shè)備標(biāo)識(shí)體系」所規(guī)定的四種標(biāo)識(shí)符以及獲取它們的接口開發(fā)方式。另外，你也可以在 MSA 官網(wǎng)或會(huì)員單位的開發(fā)者網(wǎng)站下載 SDK 開發(fā)說明。

補(bǔ)充設(shè)備標(biāo)識(shí)體系

補(bǔ)充設(shè)備標(biāo)識(shí)體系獲取接口

從這四種標(biāo)識(shí)符的描述和功能我們大致可以確定，「移動(dòng)智能終端補(bǔ)充設(shè)備標(biāo)識(shí)體系」所規(guī)定的 UDID、OAID、VAID、AAID 在 Android 系統(tǒng)中分別對(duì)應(yīng)了 Device ID（例如 IMEI，或?qū)?yīng)了 iOS 設(shè)備的 UDID）、AAID、SSAID、UUID（或 GUID）。在理想狀態(tài)下，引入 OAID 即能保證廣告平臺(tái)的正常運(yùn)作，也能減小對(duì)用戶帶來的影響，因?yàn)榈谌?App 無需請(qǐng)求權(quán)限即可使用 OAID 完成廣告行為，而該過程匿名，用戶也可以隨時(shí)重置 OAID。

從廣告服務(wù)商 Adjust 于 2019 年12 月 20 日發(fā)布的 新聞稿 中我們也可以獲知，Adjust 已經(jīng)接入了 OAID 廣告標(biāo)識(shí)符，能夠?qū)χ袊箨懙膹V告主提供廣告相關(guān)服務(wù)；國內(nèi)廣告數(shù)據(jù)服務(wù)商神策數(shù)據(jù)在其 幫助文檔 中同樣提供了 OAID 匹配指南；華為則在其 開發(fā)者平臺(tái) 提供了基于 OAID 的「HUAWEI Ads OAID」廣告平臺(tái)接入指南。

神策數(shù)據(jù)在幫助文檔中對(duì) OAID 的簡要介紹

事實(shí)上，主流手機(jī)廠商都已經(jīng)在其開發(fā)者平臺(tái)上提供了 Android 10 適配指引，包括 三星中國開發(fā)者網(wǎng)站、華為開發(fā)者聯(lián)盟、OPPO 開放平臺(tái)、vivo 開放平臺(tái) 都已針對(duì) Android 10 的相關(guān)變化做出了說明和解決方案建議，其中就包括 Google 官方標(biāo)識(shí)符適配建議和 OAID 適配方式。

OPPO 開放平臺(tái)引用 Android 開發(fā)者文檔作為推薦適配方案之一

三星中國開發(fā)者網(wǎng)站中引用 MSA 說明文檔作為推薦方案之一

另外 OPPO 和 vivo 也分別在其開放平臺(tái)提供了「移動(dòng)智能終端補(bǔ)充設(shè)備標(biāo)識(shí)體系」相關(guān)文檔和 SDK 下載。

不難看出，廣告平臺(tái)已經(jīng)開始接入 OAID 作為國內(nèi)廣告標(biāo)識(shí)符的建議方案，主流設(shè)備廠家也已經(jīng)開始指導(dǎo)開發(fā)者采用「移動(dòng)智能終端補(bǔ)充設(shè)備標(biāo)識(shí)體系」，并且考慮到國內(nèi)主流的應(yīng)用預(yù)置和分發(fā)平臺(tái)（例如手機(jī)廠商內(nèi)建的應(yīng)用商店）與 Google Play 一樣開始對(duì)上架 App 的 API 等級(jí)做出強(qiáng)制要求，包括 OAID 在內(nèi)的標(biāo)識(shí)符體系毫無疑問將成為國內(nèi)第三方 App 的強(qiáng)制執(zhí)行標(biāo)準(zhǔn)。

小結(jié)

最后，從用戶的角度出發(fā)，我們又該如何看待 OAID 呢？

Android 一直在安全和隱私方面做出努力，也正是因?yàn)?Android 10 大刀闊斧地動(dòng)作，讓 IMEI 等唯一標(biāo)識(shí)符不再被濫用，但放眼國內(nèi)市場，在 Google 服務(wù)依舊無法正常使用的環(huán)境下，出臺(tái)本土化的體系標(biāo)準(zhǔn)來兼顧用戶隱私安全和廣告渠道利益其實(shí)可以說是一種進(jìn)步，與之類似的舉措還包括「互傳聯(lián)盟」「統(tǒng)一推送」等等。

不過即便該體系在當(dāng)前環(huán)境下不失為一種最優(yōu)解決方案，但長久以來國內(nèi) Android 生態(tài)真正需要的除了這種強(qiáng)制性標(biāo)準(zhǔn)，還有手機(jī)廠商和 App 開發(fā)者在源頭上的自我管理。

推薦閱讀：青海都市網(wǎng)