V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
hutng
V2EX  ›  信息安全

点开网页瞬间,窃取手机号,这是什么黑科技?

  •  
  •   hutng · 2019-07-08 14:47:27 +08:00 via Android · 9268 次点击
    这是一个创建于 1956 天前的主题,其中的信息可能已经有所发展或是发生改变。
    《点开网页瞬间被窃取隐私 访客手机号码被卖 1 元 1 条》 https://www.cnbeta.com/articles/tech/865121.htm
    29 条回复    2020-08-01 18:08:42 +08:00
    saberlove
        1
    saberlove  
       2019-07-08 14:55:26 +08:00
    运营商有接口吧
    edgnoz
        2
    edgnoz  
       2019-07-08 14:56:05 +08:00
    移动和电信都有获取手机号的接口。。。联通不知道
    abvatous
        3
    abvatous  
       2019-07-08 14:56:29 +08:00   ❤️ 1
    插个眼,Androider 前排学习
    JmmBite
        5
    JmmBite  
       2019-07-08 15:05:39 +08:00
    一键本机手机号码账户登陆 app 那种。抖音也有,抓个包就了解了。
    ochatokori
        6
    ochatokori  
       2019-07-08 19:19:41 +08:00 via Android
    接口归接口,浏览器能够获取什么唯一的标志信息去接口换取手机号?
    反正浏览器访问就能拿到手机号的方法只能想到两个
    1 后端拿到访问客户端的 ip 再去运营商换取分配到这个 ip 的手机号
    2 像 qq 快速登录那种,手机上有一个有权限的 app 和浏览器交换数据
    ochatokori
        7
    ochatokori  
       2019-07-08 19:21:47 +08:00 via Android
    真有这么吊我还真想见识一下…
    x86
        8
    x86  
       2019-07-08 19:29:55 +08:00 via iPhone
    @ochatokori 直接调接口,不是移动网络返回空就行了,以前看过返回别人截图,有字段给你判断
    Jirajine
        9
    Jirajine  
       2019-07-08 19:32:06 +08:00 via Android
    我寻思这个跟本地接口没关系吧。也和 Android,iOS 无关,甚至 PC 都一样。
    按他所说,需要 LTE 上网,并且其他人的“ http 流量”也能劫持,分明是运营商出了内鬼,跟搞 DNS 劫持,API 劫持的是一回事。
    所以对用户来说没什么太好的办法,安装知名杀毒软件( zhi ming bing du mu ma )?还是别搞笑了。
    真要防的话,全局流量走 VPN,走代理吧。
    ochatokori
        10
    ochatokori  
       2019-07-08 19:35:10 +08:00 via Android
    @x86 #8 那就是说这个 “接口” 根据访问者的 ip(想不到还有什么能和手机号关联了)就直接反推出手机号码了?因为浏览器根本不可能(或者我见识少)提供和手机号码有关系的特征信息
    x86
        11
    x86  
       2019-07-08 19:42:10 +08:00 via iPhone
    @ochatokori 我以前看的截图是联通网络下访问,返回的 json 有一个字段标注了手机号,如果非移动网络访问就没那个字段了
    LZSZ
        12
    LZSZ  
       2019-07-08 19:43:40 +08:00
    我想除了运营商有接口,手机厂商也有接口。
    x86
        13
    x86  
       2019-07-08 19:43:40 +08:00 via iPhone
    @ochatokori 没记错的话以前百度推广上医疗类网站有这种接口,可以查下历史文章看看
    ochatokori
        14
    ochatokori  
       2019-07-08 19:48:26 +08:00 via Android
    @x86 #11 感觉截图没有说服力…
    他捉的是你的手机号码吗

    如果真的是浏览器 0day 漏洞或者运营商在后面撑腰的黑产就不得了了
    2067
        15
    2067  
       2019-07-08 19:56:42 +08:00


    参考文档
    《中国移动 GGSN 支持 APN 融合总体技术要求.doc 》
    注意 GGSN 是 2/3G 时候的网元名字,所以你就知道这个功能历史悠久了

    并不算什么黑产,最初的功能是用来保证 cmwap 登录网银的时候能够绑定手机号,后来发展成可以在运营商自己的商城快捷扣费,再后来用途就多了
    2067
        16
    2067  
       2019-07-08 19:57:47 +08:00
    soho176
        17
    soho176  
       2019-07-08 20:07:14 +08:00
    真么厉害,谁有这个技术,我想用
    2067
        18
    2067  
       2019-07-08 20:10:36 +08:00
    @soho176 #17 然而这个东西确实需要有内鬼配合改运营商网关的配置,其实是谁干的一查便知
    gamexg
        19
    gamexg  
       2019-07-08 21:00:26 +08:00
    >> “如果抓取别人的网站,只能抓普通‘ http ’打头的网页访客,不能抓‘ https ’打头的,因为加密传输的抓不了。除了网页,手机 App 也能抓取,技术都是一样的”,周伟称。
    felixlong
        20
    felixlong  
       2019-07-08 22:01:24 +08:00   ❤️ 1
    仔细想想。营运商是怎么做浏量计费的就知道它是有办法得到你手机号码的。再怎么躲在 VPN 后面都没有用。
    lybtongji
        21
    lybtongji  
       2019-07-08 22:01:50 +08:00
    opengps
        22
    opengps  
       2019-07-08 22:43:17 +08:00 via Android
    以前运营商在网页嵌入流量提示的代码被利用了吧
    20015jjw
        23
    20015jjw  
       2019-07-09 00:25:14 +08:00 via Android
    @ochatokori 还真有.. 直接塞一个加密字段在 header 里 用字段 lookup 电话... 是和运营商合作的...
    longxiaoyun
        24
    longxiaoyun  
       2019-07-09 00:33:09 +08:00
    我记得好久之前就有 抓取 QQ 号码 还有手机号码的 ,后来消停了一阵,之前百度推广的一些用户就用这个。
    dawn009
        25
    dawn009  
       2019-07-09 02:26:25 +08:00
    @felixlong #20 在 VPN 后面,运营商虽然能流量计费,但不知道访问了哪个网站,因此可以避免网站通过运营商得知访客的身份。
    ShundL
        26
    ShundL  
       2019-07-09 02:33:06 +08:00 via iPhone
    这个运营商确定有接口的,朋友有开发过类似业务的,我看过文档。
    liuxey
        27
    liuxey  
       2019-07-09 08:19:54 +08:00
    营运商接口、大数据多维度匹配都是可以的
    o0
        28
    o0  
       2019-07-09 09:06:56 +08:00
    以前比较猖獗,后来严打后几乎绝迹了,多少年又没管了,一些公司已经开始宣传他们的这种新产品了。
    aidefs
        29
    aidefs  
       2020-08-01 18:08:42 +08:00
    @ochatokori 我跟你的想法一样,一开始我也觉得是 ip,但是我试过挂 vpn,也还是能识别到手机号,所以我怀疑是不是用了 dpi 检测技术
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5455 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 07:34 · PVG 15:34 · LAX 23:34 · JFK 02:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.