卸载淘宝半年后，后台仍显示我的 iPhone 在登录？一次设备标识追踪调查

lzp123 · 发表于 6 小时前

事情发生在今年年初。

当时我的淘宝账号被系统判定存在“恶意行为”，随后设备似乎进入了风控名单，88VIP 客服直接说无法处理并且挂电话，2000 分的淘宝分账号，续费了 88VIP 后不到三天就出了这个问题，我没有继续申诉，而是直接卸载了淘宝以及相关应用。

前几天因为需要查看几件商品，我重新安装并登录了淘宝。出于好奇，我查看了一下账号登录日志，却发现了一个让我比较意外的现象：

在过去半年里，我的 iPhone 一直存在登录记录。

这些记录并不是连续产生的，而是以两三天一次、时间随机的形式出现。可以确定的是，这段时间淘宝早已被卸载，而且我本人没有进行过任何登录操作。

最开始我怀疑是否存在账号泄露或其他设备登录的情况，但进一步排查后发现，登录设备信息始终显示为同一台 iPhone 。

随后我查阅了一些资料，并进行了测试，发现问题可能与 iOS 的 Keychain （钥匙串）机制有关。

很多开发者会将设备标识符（ UUID ）、登录状态或其他身份信息存储在 Keychain 中。与普通 App 沙盒数据不同，Keychain 默认不会因为 App 被卸载而自动删除。因此即使用户删除应用并重新安装，开发者依然有机会识别出这是同一台设备。

在测试过程中我发现：

删除淘宝 App 并不会清除相关标识；

即使删除所有淘宝系 App ，部分标识仍可能保留；

用户无法直接手动清理指定 App 写入的 Keychain 数据；

在部分情况下，需要先退出账号，再重启设备，相关状态才会发生变化。

后来我咨询了一位从事风控工作的朋友。他认为淘宝很可能并不仅仅依赖 App 本地生成的 UUID ，而是结合 Keychain 、设备指纹以及服务端风控信息进行识别。

如果设备已经被关联到某些风控状态，仅仅卸载重装应用通常无法完成“身份重置”。理论上需要：

抹掉设备全部内容；

不恢复旧备份；

停止同步 iCloud 钥匙串；

以全新设备方式初始化；

才能获得完全新的设备身份环境。

关于 Keychain 的一个典型用途，是所谓的“防卸载标识”。

开发者会把设备唯一标识写入 Keychain 。这样即使用户删除 App ，重新安装后仍然可以识别为同一设备。这个机制原本常用于游客账号恢复、防作弊和风控系统。

让我感兴趣的是：

如果一个应用在被卸载后，仍然能够通过系统保留的数据持续识别同一设备，那么它在多大程度上仍然保留着用户身份关联能力？

此外，淘宝登录日志中持续出现的“设备登录记录”究竟是客户端主动行为、服务端状态刷新，还是其他机制导致的表现，也值得进一步研究。

不知道论坛里有没有做过 iOS 风控、移动安全或者逆向分析的朋友遇到过类似情况，欢迎一起讨论。

lzp123 · 发表于 3 小时前

还以为你要搞个大新闻，结果是 AI 枪手

a837660069 · 发表于 2 小时前

即使你不安装淘宝 app ，很多其他 app 也内置阿里系的 sdk ，淘宝方面一样可以遥测拿到需要的数据。
就像你不安装抖音，字节如果想要的话一样能知道你的相关数据，因为很多 app 的广告组件都是穿山甲，sdk 拿到数据，多种渠道交叉汇总之后一样可以精确锁定你。

吴先生 · 发表于 2 小时前

淘宝的登录日志不代表只有登录了淘宝才会有，比如阿里小号、一淘、阿里妈妈、1688 ，甚至支付宝内的一些小程序……乱七八糟的都算淘宝账号体系，都可能被计入淘宝登录日志。

cwy_1320 · 发表于 1 小时前

在 PC 时代，淘宝的风控是会检测硬盘 ID 的，我在亲戚家被淘宝风控过的电脑登录账号，直接封号了，支付宝余额也没拿回来，后来了解到他卖 QQ 产生过纠纷，换了主机没换硬盘，淘宝号上一个封一个。
看到网友的经历，买了块二手硬盘，曾经被淘宝风控过，资金惨遭冻结，历经万难才申诉成功。尽量不要在不熟悉的设备上登录，主力设备硬盘别用二手。