监视资本主义的恐怖清单中添加了一个新故事：美国军方正在从跟踪数百万人的公司购买跟踪和位置数据。用户必须有真正的选择退出以跟踪为主的“科技巨头”。我们审查提交给 fdroiddata 的所有应用以标记跟踪和其他“负面特征”。F-Droid 内置于 CalyxOS 等不包含专有的来自技术巨头的软件的移动平台中。由于我们只分发自由软件，这意味着我们有完整的源代码可供审查。这使得查找跟踪活动变得更加容易，即使它在应用开发人员不知情的情况下意外溜入，例如当一个自由库引入其他依赖项时。

目前，自动查找跟踪器最有效的方法是在提取的 APK 内容中搜索众所周知的字符串。域名就是一个例子，如果一个应用正在向 google-analytics.com 或 facebook.com 发送数据，那么很明显它正在执行某种跟踪。这些众所周知的字符串列表必须由人们创建和管理，然后收集和审查。Exodus Privacy 正是为此而创建了他们的 Exodus Tracker Investigation Platform (ETIP)。F-Droid, 耶鲁隐私实验室, jawz101, Guardian Project ，和其他人则将 εxodus ETIP 作为这些字符串的标准数据库共同努力。

在开放网络中搜索关键比特位

由于跟踪主要由试图获取客户的公司完成，因此他们在网络上宣传和记录他们的服务。我们花了一些时间搜索这些信息，看看我们能找到什么。我们主要使用两个信息进行搜索：我们提取 的 API Key 标识符和提供跟踪和相关服务的公司的 top 10 名单。由此，我们向 εxodus ETIP 数据库添加了 50 多个新的服务配置文件。我们还在现有条目中添加了超过 100 条附加信息，例如 SDK 标识字符串、文档链接、隐私政策以及有关公司跟踪方法的信息。

从那项研究中，我们保存了一些选定跟踪公司的选择承诺：

• “Glassbox 提供的客户体验分析解决方案不仅仅告诉你客户在做什么。它告诉你为什么。”
• “定位来自所有来源的流量，包括来自第三方 cookie 被阻止的隐藏网络的 50% 流量，以增加可定位的库存。”
• “从任何地方实时收集客户和产品数据”
• “PlaytestCloud 将捕捉整个游戏体验，将你变成一个拥有超能力的观众。”
• “我们随时记录玩家的屏幕、他们的触摸以及他们要说的话。”
• “我们管理全球范围内的地理空间地面实况数据集”
• “从隔夜到实时进行细分和分析。我们的 DMP 在会话中工作，即使在游客流量上也能实现完美匹配率。”

众包寻找追踪器

跟踪跟踪器是一种非常适合众包的工作。跟踪公司一直在消失并重新命名，以避免过多的审查。但他们仍然必须联系开发人员才能找到客户。这意味着我们可以找到它们。加入搜索！非技术人员也可以做出贡献，例如，当你读到有关跟踪公司的新闻时，搜索以查看它是否已经在 ETIP 中。如果没有，提交一个 issue 要求添加它。空闲时间很少的 Android 开发人员可以将代码签名、域名和其他关键技术细节添加到 ETIP。甚至可以编写快速脚本实现检测跟踪的新想法。

你可以在许多论坛中寻求入门帮助。希望早日收到你的消息！

• 为 Exodus Privacy 做贡献
• F-Droid 论坛
• F-Droid 聊天室
• Guardian Project 频道

（这项工作得到了 NLnet 的 NGI Zero PET 基金的支持。）