Como alguns aplicativos Android lembram que essa não é a primeira vez que estão sendo instalados?

Alguns aplicativos para Android lembram se foram instalados no mesmo dispositivo anteriormente. Suponha que você tenha desinstalado um aplicativo há um ano. Após um ano, se você instalar o mesmo aplicativo novamente, ele poderá reconhecer que ele foi instalado anteriormente no mesmo telefone.

Essa técnica é usada pelos aplicativos on-line para banir permanentemente os usuários de nunca criarem uma nova conta novamente, caso tenham sido banidos do uso do serviço uma vez. Quando esses usuários criam uma nova conta reinstalando o aplicativo posteriormente, esses aplicativos conseguem detectar sua "presença inicial" e enviar essas informações aos servidores para que o usuário possa ser banido novamente.

Como eles fazem isso mesmo depois de limpar seus dados e desinstalá-los completamente? Isso significa que eles mantêm algum arquivo em algum lugar do telefone, que não é excluído após a desinstalação. Como desativo essa detecção?

Existem várias maneiras de identificar um dispositivo exclusivo ou seu usuário:

1. Mantenha um arquivo em algum diretório (não padrão) : você já disse isso; os aplicativos geralmente podem gravar no armazenamento interno de um dispositivo. Esse método é fácil, funciona offline e não é o mais fácil de localizar (coloque o arquivo em algum diretório semelhante ao sistema e ninguém se incomodará em excluí-lo).
2. Mantenha o controle de um dispositivo único ANDROID_ID(único por instalação nova) : esse método é simples, mas requer acesso à Internet, pelo menos no primeiro uso. Não é muito invasivo e não persiste no caso de uma redefinição de fábrica. Também é único por usuário. Veja esta informação .
3. IMEI : muito invasivo, imutável, mas requer um dispositivo compatível com SIM. O IMEI é exclusivo para cada dispositivo, não pode ser alterado e não segue o usuário, o que significa que, se você vender o dispositivo, o novo proprietário será recebido com uma tela informando que o aplicativo já estava no telefone.
4. Siga a conta do Google de um usuário : é praticamente a mesma da ANDROID_IDabordagem, mas requer permissão explícita (Android 6.0 ou superior) do usuário para acessar. Os aplicativos que tiram proveito do ecossistema da conta do Google (por exemplo, recordes e conquistas em jogos) podem, portanto, seguir um usuário específico e obter mais informações do que se o aplicativo foi instalado ou não.

2, 3 e 4 requerem uma conexão de rede e um servidor ao lado do desenvolvedor.

Não está conectado ao armazenamento, mas à nuvem. É assim que ele se lembra, mesmo que você tenha excluído seus dados. Para desativar isso, acesse o aplicativo de configurações do dispositivo, toque em contas google em pessoal (toque na conta que você deseja se tiver várias contas) e depois desative os aplicativos que não deseja sincronizar automaticamente.

A resposta da GiantTree cobre melhor, mas há outro ponto em que pensar. Seria claramente um " padrão escuro ", mas essa identificação também poderia ser feita através de impressão digital de certos dados do usuário - isso pode ser visto como uma variante do primeiro ponto ("manter um arquivo"), mas seria mais difícil de detectar e menos conveniente evitar.

A resiliência disso dependeria dos dados escolhidos. O método mais óbvio seria olhar para detalhes de contato e usar alguma forma de impressão digital disso; uma alternativa pode ser o uso de carimbos de data e hora da foto e outros metadados. Claramente, essas alterações são alteradas ao longo do tempo, portanto, qualquer que seja o método usado, ainda é necessário fornecer uma resposta próxima após a modificação (por isso difere da função tradicional de hash). Também não há garantia de que um usuário não limpe simplesmente os dados rastreados, mas em muitos casos as pessoas preferem não fazer isso.

Você pode examinar as impressões digitais do navegador para ter uma idéia de como isso funciona, mesmo que seja um pouco diferente porque o hardware do telefone é normalmente mais uniforme que o hardware do PC. Dito isto, a adição de certos detalhes do telefone pode ajudar a diminuir um pouco a impressão digital.

Onde essa abordagem é mais complicada é se um usuário alternar telefones e levar seus detalhes com eles para um novo telefone - nesse caso (a menos que os detalhes do telefone estejam entrando na impressão digital), o novo telefone poderá ser detectado como já tendo uma instalação, como a pergunta. No entanto, parece bastante provável que, em um cenário em que um aplicativo esteja tentando banir um usuário, esse possa realmente ser o resultado desejado (em vez de banir o telefone específico)

Observe: de nenhuma maneira estou dizendo que isso é correto ou "bom" como uma maneira de operar se você estiver escrevendo aplicativos, mas parece razoável discuti-lo, pois é somente através da discussão que as pessoas descobrirão se estão preocupado o suficiente para fazer algo sobre isso e o que pode ser.

Há uma classe SharedPreferences - https://developer.android.com/reference/android/content/SharedPreferences.html - que alguns aplicativos usam para armazenar dados de preferência. Esses dados não são excluídos quando o aplicativo é desinstalado. Se o aplicativo for reinstalado posteriormente, quaisquer chaves SharedPreferences salvas anteriormente ainda estarão disponíveis.

Há outra possibilidade - o uso de cookies persistentes com um "tempo para expirar" muito grande. Eu acho que é assim que vários aplicativos do mesmo desenvolvedor costumavam compartilhar credenciais tradicionalmente, quando as credenciais armazenadas pelo recurso de contas não eram tão abertas / conhecidas do público.