V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
saleacy
V2EX  ›  程序员

315 曝光的浏览网页就能获取用户手机号是怎么做到的?

  •  1
     
  •   saleacy · 2022-03-16 02:26:19 +08:00 via Android · 12202 次点击
    这是一个创建于 968 天前的主题,其中的信息可能已经有所发展或是发生改变。
    例:某用户浏览了某购物平台,软件公司就能获取到该用户的手机号码。

    疑问:软件公司并没有购物网站的后台管理权限,他是怎么获取到该用户手机号的。。。

    纯技术疑问
    63 条回复    2022-03-18 00:17:58 +08:00
    DCjanus
        1
    DCjanus  
       2022-03-16 02:38:15 +08:00 via Android
    一种办法是 CSRF ,大网站有很多犄角旮旯没人维护的 API ,配置的有问题的话就会有漏洞,比如不小心允许所有 Reference 访问 /xx/userinfo
    FirefoxChrome
        2
    FirefoxChrome  
       2022-03-16 02:46:07 +08:00
    精准的大数据。
    eason1874
        3
    eason1874  
       2022-03-16 03:21:32 +08:00   ❤️ 1
    有一种方法几乎没有难度,你想刑就能行

    移动数据上网,运营商某些接口会明文返回手机号,直接请求那些网址就能拿到手机号

    现在大部分手机都会同时开启双通道加速,就是说移动数据总是开着的
    ZE3kr
        4
    ZE3kr  
       2022-03-16 03:30:35 +08:00
    运营商提供给网站的或者是运营商漏洞

    宽带的话 IP 定位可以定位到具体哪条街哪栋楼
    AirShark
        5
    AirShark  
       2022-03-16 03:46:48 +08:00 via iPhone
    @ZE3kr 公网 IP 岂不是可以定位到个人?
    ZE3kr
        6
    ZE3kr  
       2022-03-16 03:59:54 +08:00
    @AirShark 我说的是能比较容易买得到的商业 IP 数据库。定位到个人的数据库 /API 不好搞
    cxy2244186975
        7
    cxy2244186975  
       2022-03-16 04:56:44 +08:00 via Android
    这个东西好像是几年前的东西了吧
    叫什么运营商访客统计
    好几年没玩都忘了
    记得当时我搞的是这个单页竞价系统
    没错,就是一个单页。
    然后只要是手机用户打开这个网页的话,就会调用这个运营商的这个充值接口
    然后你那个页面里面直接只需要监控那个充值的这个手机号码就完事了。
    然后手机号就拿下来了
    不仅仅是手机号,包括 QQ 啊什么的都能拦截到。
    datocp
        8
    datocp  
       2022-03-16 06:04:02 +08:00 via Android
    有什么方法让它拿不到?
    shiganwuguo
        9
    shiganwuguo  
       2022-03-16 07:16:31 +08:00 via Android   ❤️ 2
    运营商有一键登录 有 api 直接返回你的手机号
    Chism
        10
    Chism  
       2022-03-16 08:04:12 +08:00 via Android   ❤️ 1
    @ZE3kr 这么说运营商也无法逃避责任,央视应该一起点名才好
    Explr
        11
    Explr  
       2022-03-16 08:22:52 +08:00 via Android
    节目里有提到 MAC ,获取到 MAC 可以关联其他渠道泄露的 MAC-手机号关系来确定手机号。但是 Chrome/Firefox 上的 js 似乎都不能获取 MAC 地址,不知道其他浏览器有没有相关 API 。
    当然了也不排除那个总经理说的并不准确。
    GPLer
        12
    GPLer  
       2022-03-16 08:26:45 +08:00   ❤️ 7
    有一种方法是通过 fingerprinting 。
    比如说 X 注册并实名了 A 站,A 站计算了 fingerprinting 将 X 的实名信息和 fingerprinting 关联。
    那么 B 站只需要通过 fingerprinting 知道你是 X ,那哪怕你没注册或没实名,也能用 X 的 fingerprinting 去 A 系统查询到实名信息。
    所以说实名制才是万恶之源(/doge
    GPLer
        13
    GPLer  
       2022-03-16 08:27:48 +08:00
    @Chism SEO 被查百度都没事,摆明了欺软怕硬,不可能动国企的。
    ChrisFreeMan
        14
    ChrisFreeMan  
       2022-03-16 08:46:18 +08:00   ❤️ 3
    @eason1874 原来如此,我说怎么看些瑟瑟的网站,总会收到瑟瑟的垃圾短信
    HFX3389
        15
    HFX3389  
       2022-03-16 08:47:03 +08:00
    > 云信一键登录整合三大运营商,支持国内三网手机号段,Android/iOS 手机,可通过一键获取用户手机号的 SDK 产品,建立以手机号码作为去中心化的开放账号体系,提升注册转换效率的必备功能。

    > 号码认证服务( Phone Number Verification Service )整合三大运营商特有的网关认证能力,验证用户本机号码与输入号码或账号绑定号码的一致性,升级短信验证码体验,应用于用户注册、登录、安全校验等场景,实现无感知校验。
    inoreader
        16
    inoreader  
       2022-03-16 09:08:40 +08:00
    @GPLer 有人拿刀砍人了,社会应该禁止刀的生产、流通、买卖。
    statement
        17
    statement  
       2022-03-16 09:23:09 +08:00 via iPhone   ❤️ 1
    运营商返回的是脱敏后的手机号吧。不是全部
    ruixue
        18
    ruixue  
       2022-03-16 09:36:43 +08:00
    @statement /t/712885 #41

    > 接过网抑某服务的表示,SDK 里面直接就没有用户授权这个说法,直接就一个接口返回手机号了;
    > APP 里面显示的是否授权,就只是给用户看的一个 UI 组件

    即使不是这样,请求运营商手机号 api 的时候也可以伪装成已获得用户授权,要求 api 提供完整的手机号,反正这个授权又没有什么方法去验证,只是显示一个界面让用户去点确认,那它直接后台“帮”用户点确认也不是不可以
    mikuazusa
        19
    mikuazusa  
       2022-03-16 09:44:42 +08:00
    fingerprinting 正解,很多大厂生态数据都做到了内循环、内部自动关联,根本无处可躲
    Chism
        20
    Chism  
       2022-03-16 09:53:45 +08:00   ❤️ 2
    @GPLer
    也对,就像反垄断都不去反那种真正垄断的大大大企业,都是拿人家辛苦打拼的民营企业开刀
    xmge
        21
    xmge  
       2022-03-16 10:12:08 +08:00
    国家的一些大企业都在贩卖用户信息,总是去抓一些小企业,小企业就会想了:国家大企业都这样,我这样有啥错。
    1018ji
        22
    1018ji  
       2022-03-16 10:25:08 +08:00
    感觉没那么神,大概率还是大数据撞出来的
    eviladan0s
        23
    eviladan0s  
       2022-03-16 10:26:23 +08:00 via iPhone
    运营商的原因,他在你的 http 响应中插入了自己的信息,里面会有跨域调用接口获取你的手机号,那些网页用 js 就能获取到
    vzchn
        24
    vzchn  
       2022-03-16 10:28:18 +08:00
    说白了就是运营商提供的。十年前我刚入行的时候就有这种东西了。
    learnshare
        25
    learnshare  
       2022-03-16 10:49:55 +08:00   ❤️ 2
    运营商提供,甚至是主动提供

    点名上海电信宽带,当年会进行一些明显的违法行为:
    1. 百度搜索后,相关厂商会直接打电话进行推销
    2. 每天给微博账号关注几十个垃圾号
    epicSoldier
        26
    epicSoldier  
       2022-03-16 10:53:46 +08:00
    运营商应该有接口,移动网络环境下调用就能获取到手机号
    shayuvpn0001
        27
    shayuvpn0001  
       2022-03-16 10:55:09 +08:00
    zxcslove
        28
    zxcslove  
       2022-03-16 10:56:34 +08:00
    三大运营商监守自盗而已,之前发帖讨论过的
    ellermister
        29
    ellermister  
       2022-03-16 10:57:59 +08:00   ❤️ 1
    上面很多人都没说到位,什么 mac 地址关联,运营商 CSRF 漏洞,这种显然只是一般数据公司利用的渠道。但并不意味着它能够精准获取到,你通过浏览器抓包看下响应就知道有没有你的手机号。

    近 2 层楼说是运营商提供的,这是运营商内部至少十年前的技术,手机你插卡不开 WiFi ,隐私浏览器访问投毒的 URL ,里面就一个请求就能拿到你的手机号,原理就是走了 3gwap 的通道,在网关那边把你的号码发给对方的服务器。后来有些和运营商合作的,把接口扩展到了 3gnet 或其他模式。

    再到后来的三网运营商合作,统一认证,当时明面上不可能卖给你这个接口的,有是绝对有的。

    这种东西当时一搜一堆,QQ 访客抓取,手机号码访客抓取,按条或者包月算钱。
    ZeroDu
        30
    ZeroDu  
       2022-03-16 11:10:38 +08:00
    按照大脚的说法。我在手机浏览器随便打开网页它可获取的手机号?,或者我在微信或者 QQ 里面点开网页可以获取微信 qq 相关信息(未授权的情况下)。
    ZeroDu
        31
    ZeroDu  
       2022-03-16 11:11:11 +08:00
    @ZeroDu 大脚=>大家
    plasmetoz583
        32
    plasmetoz583  
       2022-03-16 11:44:27 +08:00
    这种运营商接口要是能使用 adblock 规则或者 hosts 屏蔽就好了。。。
    com67373
        33
    com67373  
       2022-03-16 13:05:32 +08:00
    在中国是没有隐私的,运营商没那么强的技术却被赋予了无上的权利。
    elfive
        34
    elfive  
       2022-03-16 13:09:57 +08:00 via iPhone
    @com67373 公家用是合法的,因为其他人用,滥用,导致小白用户知道了这个东西的存在,就不合法了,要打击这种🐶
    skiy
        35
    skiy  
       2022-03-16 13:32:59 +08:00 via iPhone
    运营商的 sdk 还要联系商务,不知道只是提供了 189****1234 这种模糊手机号,还是精准手机号。
    mogging
        36
    mogging  
       2022-03-16 14:01:26 +08:00   ❤️ 1
    @datocp 这个才是 V2 应该讨论的问题
    dongpengfei1
        37
    dongpengfei1  
       2022-03-16 14:14:38 +08:00
    类似于广告联盟,给用户打上更精准的标签,就算你没有登录没有用数据,但是你使用了和之前一样的习惯就能匹配到你是谁。
    Pichai
        38
    Pichai  
       2022-03-16 14:22:34 +08:00   ❤️ 3
    VYSE
        39
    VYSE  
       2022-03-16 14:43:18 +08:00
    某些数据公司放了流量分析设备挂到某些运营商核心交换的, 而且运营商帮忙吐用户信息可以跟报文匹配, 设备可以解析纯 http 流量以及 TLS SNI 获取访问网站
    并且这个数据可以买到哦
    hoythan
        40
    hoythan  
       2022-03-16 15:10:41 +08:00   ❤️ 1
    扯犊子,运营商怎么可能有接口暴露出来给你随便玩,都是需要二次授权的收费接口,有 bug 也是十几年前的事情了,张口就来...
    mscsky
        41
    mscsky  
       2022-03-16 15:24:51 +08:00
    lcy630409
        42
    lcy630409  
       2022-03-16 16:15:45 +08:00
    15 年毕业那会儿 就帮公司弄过,有一个网址,在网页加载的时候 一起加载就能获取到。
    不过后来这个网址失效了,我也没负责弄这块

    只能通过 移动网关上网才能获取
    eason1874
        43
    eason1874  
       2022-03-16 16:58:27 +08:00
    @hoythan #40 还十几年前。。。几年前都还年年有爆运营商类似漏洞,2016 年之后少了,但不是因为运营商突然就没漏洞了,只是因为那年有个白帽子因为报告漏洞被抓了,乌云那年也关闭了
    kenvix
        44
    kenvix  
       2022-03-16 17:06:10 +08:00
    @shiganwuguo 一键登录的接口会去掉中间四位,只靠这个应该不行
    dreamramon
        45
    dreamramon  
       2022-03-16 17:14:33 +08:00
    运营商的 sdk 直接给你的,没那么麻烦。
    Moofeng
        46
    Moofeng  
       2022-03-16 17:22:20 +08:00
    Jsonp hijacking
    linglin0924
        47
    linglin0924  
       2022-03-16 17:36:30 +08:00
    当时在 52 上看到的,联通的某个域名接口,传过去一个手机号就返回多少话费,几乎无设防鉴权。相比都是类似的漏洞。更大概率是内鬼才了解的。
    arvinsilm
        48
    arvinsilm  
       2022-03-16 17:38:57 +08:00
    @ChrisFreeMan 明显你看的网站不正规,我们正规的从来收不到短信
    piloots
        49
    piloots  
       2022-03-16 17:58:45 +08:00
    315 直播显示:是手机浏览器+移动网络浏览指定网页,广告公司后台拿到用户手机“SON”值,通过付费( 15 元一条黑产),查询“SON”对应到完整的手机号码。("SON"是来自 315 直播,对应用户唯一 KEY )

    假设 1:拿到“SON”需要通过运营商某些交互比如“一键登录”拿到。这里得出运营商方面可能存在问题的。

    假设 2:假设条件 1 为真,解密”SON“后可以查询得出手机号码。这里内部人员权限或者程序加密被解密了。

    假设 3”SON“是通过泄露数据方式得到的,那只有部分人信息有出来。不过 315 说昨天的数据今天就能得到,应该不是某些对应的"SON"泄露导致的。

    另外:查询 15 元一条,但中间又说一天 1 百多万条,加上今天的预览的人手机号第二天查出来,这是一个完整的黑产链,参与的人就不清楚了。

    总结:目前能通过移动数据拿到手机用户信息的,应该只有通过运营商的接口。


    以上来自 315 直播得到。
    yeh
        50
    yeh  
       2022-03-16 18:18:48 +08:00
    手机号自动登录的,屏蔽下列域名:

    *.cmpassport.com
    *.hmrz.wo.cn
    *.wostore.cn
    *.e.189.cn
    *.id6.me
    ChrisFreeMan
        51
    ChrisFreeMan  
       2022-03-16 19:10:06 +08:00 via iPhone
    @arvinsilm 借一步说话
    ajump
        52
    ajump  
       2022-03-16 19:32:34 +08:00 via Android
    @eason1874 不给挖=没洞
    wdd2007
        53
    wdd2007  
       2022-03-16 20:15:04 +08:00
    内鬼吧
    Lemeng
        54
    Lemeng  
       2022-03-16 20:47:35 +08:00
    mac ,大数据抓取你在其他网页或 app 上留了手机?再对比匹配?只能想到这个
    Ayersneo
        55
    Ayersneo  
       2022-03-17 01:42:16 +08:00 via iPhone
    央视财经微博上说是根据 MAC 地址确定用户身份的,应该还是靠 Wi-Fi 探针、广告联盟某种唯一身份指纹和流氓 App 。不排除运营商泄露。
    zxjunz
        56
    zxjunz  
       2022-03-17 09:31:24 +08:00
    多半是大数据
    julyclyde
        57
    julyclyde  
       2022-03-17 11:02:36 +08:00
    @Ayersneo Mac 地址连广播域都出不了
    听财经讲技术?
    LukeChien
        58
    LukeChien  
       2022-03-17 13:12:42 +08:00 via Android
    十几年前我做 wap 网站的时候就有这种 url ,js 都不用直接 callback
    Ayersneo
        59
    Ayersneo  
       2022-03-17 13:23:50 +08:00 via iPhone
    @julyclyde 央视财经是 315 晚会的制作方…
    zpfhbyx
        60
    zpfhbyx  
       2022-03-17 13:39:04 +08:00
    啥啊, 基本都是运营商搞的 http 劫持, 然后注入自己的 js, 当年联通的右下角的那个流量球 没人记得了? 基本上都差不多的.
    zpfhbyx
        61
    zpfhbyx  
       2022-03-17 13:40:05 +08:00
    顺便在提一句当年某口令 你以为是站长劫持的剪贴板? 然而不全是.
    mmdsun
        62
    mmdsun  
       2022-03-17 21:26:01 +08:00
    借楼:315 里面说有些营销公司 SEO 可以把对你不利的网站,让别人访问都变成 404. 这个是啥原理 ?
    Kuansiu
        63
    Kuansiu  
       2022-03-18 00:17:58 +08:00 via iPhone
    一键登录帮了很大的忙啊……
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5460 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 42ms · UTC 01:30 · PVG 09:30 · LAX 17:30 · JFK 20:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.