这是一个创建于 288 天前的主题,其中的信息可能已经有所发展或是发生改变。
我知道的一个风险就是 A 用户连接 B 用户的流量热点,可以通过 “手机号一键登录” 功能登录 B 的账号,不知道这个问题现在是否还存在。
这不快过年了吗,这个功能可能用的也比较多。
但是我看好像目前还没有通过无线热点攻击设备的例子。
这不快过年了吗,这个功能可能用的也比较多。
但是我看好像目前还没有通过无线热点攻击设备的例子。
 |
1
w2er 288 天前
连你热点,好像是不是还可以顺便走你的代理。
|
 |
2
wu67 288 天前 via Android
手机号一键不是要收短信的吗....你能无感登录只是他拿了读取短信权限
|
 |
3
f2kandlove 288 天前 via iPhone  1
@w2er 代理要有这个功能并且打开而且 A 要输入端口号
|
 |
5
Yadomin 288 天前 via Android
@wu67 都什么年代了,早就有通过运营商接口一键登录的了。
而且自动填充短信验证码登录也不是拿了你的短信权限,而是通过 SMS Retriever API 实现的 |
 |
6
jim9606 288 天前 via Android
这种一键登录 sdk 是强制使用移动网络的,即使你把热点标记为计费网络也不认的。
不过往坏的方向说,这种认证的安全性依赖 sdk 实现安全而不是运营商网关。 |
 |
7
SenLief 288 天前
一键登录的权限很低的,办理业务仍然需要再次认证,密码才是高一档,然后是人脸。
|
 |
8
busier 287 天前 via Android
没有遇到楼主说的情况,手机开热点,其它设备连上时,无法通过开热点的手机号一键登录。
|
 |
9
Vegetable 287 天前
你是怎么知道的呢?据我所知这是不太可能的,因为一键登录 SDK 的原理是强制使用 SIM 卡的流量和运营商交互,根本不会走 WIFI
|
 |
10
zsh2517 287 天前
mark 一下,晚上回去如果我还能想起来的话试试(之前我也有过这个想法)
|
 |
11
Inzufu OP 1
@w2er 系统代理好像不会给连接的设备,但是可以通过 Everyproxy 之类的软件把本机的代理以 HTTP Proxy 的方式共享出去供连接的设备使用
|
|
12
Inzufu OP |
 |
14
vileer 287 天前 via iPhone
@Inzufu 文章有个关键步骤没有细说那就是让 b 手机上的 app 以为当前正在使用的 Wi-Fi 是 4g 网络,猜测大概率应该是 hook 了相关接口
|
 |
15
rizon 286 天前 via iPhone
说到一键登录我倒有个问题啊,
我原本以为运营商没有给明文号码,只是给了个掩码和一个用户 id 。 但是看了下文档他们通过 sdk 直接从运营商拿到明文手机号。这样的话随便一个 app 不就都可以随时拿手机号了吗。运营商就这么随手就把我们卖了?都不问同不同意? 不能理解 |
Select Language