苹果App Tracking Transparency的漏洞

App Tracking Transparency（ATT） 的作用是需要征得用户许可，然后才能跟踪用户或访问其设备的广告标识符。从 iOS 14.5, iPadOS 14.5 和 Apple tvOS 14.5 开始，如果你的APP要使用IDFA，需要获取用户的同意。

但实际上ATT有两种情况是豁免的：

• 您 app 中的用户数据或设备数据仅与用户设备上的第三方数据关联， 且不会以能识别用户或设备的方式从设备中对外发送。
• 与您共享数据的数据代理商仅将数据用于欺诈检测、欺诈防范或安全防护目的，并且仅代表您行事。例如，仅出于防范信用卡诈骗的目的使用数据代理商。

第一条是允许在设备本地对数据做处理，但是不能将能够识别出用户的数据发送出去，这个估计是留给差分隐私做使用的，应用的话可以参考Chrome的隐私沙盒，有可能后续苹果会继续往这方面走。

第二条用于用于欺诈检测、欺诈防范或安全防护目的，就是用于风控的，不需要经过ATT，就可以获取信息用于风控，一般是返回一些状态码标识风险：

但如果同时返回ID的，不就是ID服务了嘛，实际上可以利用这个去提供ID服务，或用风控的名义去提供ID服务，肯定会有剑走偏锋的味道。