长居海外,支付宝定位常年关闭,绑定着国内的电话卡(联通)。
老婆回国带着我国内的电话卡,刚下飞机,我支付宝收到一条支付宝的推送,大致意思市 xx 市欢迎你,推荐美食。
而我并没有回国。关闭定位就没法获取位置信息了吗?顿时感觉自己 naive 了
1
dot 2017-12-29 16:21:21 +08:00 via Android 1
大概还是可以通过附近的 WiFi MAC 来定位你的……
|
2
hatw 2017-12-29 16:30:22 +08:00
。。。。这么恐怖?联通和支……¥%付宝互通?
|
5
b821025551b 2017-12-29 16:45:42 +08:00
ip 定位不可以么,大惊小怪。
|
6
iislong 2017-12-29 16:54:49 +08:00 via Android 1
|
9
honeycomb 2017-12-29 17:32:19 +08:00 via Android
至于直接通过手机的定位方面是这样:
iOS 在没有定位权限时,应用拿不到位置信息。 Android 在 8.1 以前,没有定位权限时,应用还可以拿到当前已经连接着的 Wlan 的信息,因此能定位。 这个消息已经能直接证明运营商确实在卖(精度至少到市级的)定位数据 |
10
yksoft1 2017-12-29 17:32:58 +08:00
你老婆回国没有开机吧?没有插卡没有开机,谁都不可能知道 SIM 卡到了哪里。
假设你老婆开机(使用的是没有运行应用功能的功能手机),那就只有联通知道机器到了哪里。 |
11
yksoft1 2017-12-29 17:33:37 +08:00
然而,假设你老婆把你的卡装进任何一台带有 ali 系应用、使用了 ali 系 API 包的应用的安卓手机开机,则 ali 完全可以知道你的卡的 IMSI、ICCID、还有基站 /Wifi/GPS 等定位信息,通过 IMSI、ICCID 反查以往的登录数据库能查出它对应的手机号(如果你 SIM 里写入了本机号码就更简单不用查了),因此服务器就以为用绑定了你的手机卡的 alipay 的你回国了。
ali 系应用、API 要那么多权限是有道理的。 |
12
beakey OP |
13
yksoft1 2017-12-29 17:45:13 +08:00
@beakey 那还有一个可能,就是与 iPhone 关联的那个推送体系,也就是苹果向阿里泄露了信息。你老婆的 iPhone 关了数据连接、连接了 Wifi 没有?
|
14
LuckCode 2017-12-29 17:46:17 +08:00 via iPhone
有同学在运营商,他工作不久在我们群里说的第一句话就是:运营商什么都知道。
|
15
wangxiaoer 2017-12-29 17:49:22 +08:00 via Android
兄弟,手机定位本身就是 GPS, 基站,wifi 联合计算的,这种情况不能得出运营商卖数据,除非你认为基站定位属于卖数据。
|
16
akira 2017-12-29 17:50:19 +08:00
信息打通给用户更好的使用体验,嗯
|
17
jasontse 2017-12-29 17:53:22 +08:00 via Android
阿里现在是联通股东
|
19
Level5 2017-12-29 18:04:20 +08:00
|
20
honeycomb 2017-12-29 18:08:23 +08:00 via Android
|
21
joeaaa 2017-12-29 18:12:24 +08:00
反正我私以为各种合作卡的背后,肯定存在着某些 secret。没有利益就没有合作。
|
22
xuan880 2017-12-29 20:17:46 +08:00 via Android
ip 定位呀
|
23
typcn 2017-12-29 20:31:19 +08:00
@honeycomb
想多了 Android 从 0.1 开始就可以读取附近的所有的 WIFI 名和 MAC 地址 iOS 从 iOS 4 开始可以读取当前连接的 WIFi 名和 MAC 地址,从 iOS 10 开始可以读取附近所有的 WIFI 名和 MAC 地址 均无需任何权限 |
26
dot 2017-12-29 20:57:01 +08:00 via Android
测试
|
28
dot 2017-12-29 20:59:11 +08:00 via Android
@heiyutian 不用连的,只要开着 WiFi 允许 App 扫描,就能抓到附近的 mac 地址,一匹配就知道这个 WiFi 是哪里的……
|
29
yksoft1 2017-12-29 21:12:18 +08:00
总之,你下次做个实验。搞一台不能连接,或者可以完全禁止连接 PS 域( GPRS 拨号 3gnet,也就是指连接互联网)的 GSM/WCDMA 功能机,然后把卡插进去带到国外,关了机,回国再开机,看会不会出现到了哪里的提示。
如果机器连接了联通的 CS 域却没有连接互联网,ali 还能知道你的位置,那联通卖数据就证据确凿了。 然后,如果这样做发现 ali 不知道你的位置,那就做个对照组实验吧。 |
30
Quaintjade 2017-12-29 21:25:01 +08:00
|
31
typcn 2017-12-29 22:32:00 +08:00 5
@Quaintjade 不知道讲过多少次了。。
它不需要你的 WLAN 定位信息,只需要获取一个信息,就是你当前连接的,或者是附近的 SSID 和 BSSID,读取这个是不需要询问用户的,除非你用 Xprivacy 拦截它,iOS 则没有任何办法拦截( CNCopyCurrentNetworkInfo or Hotspot Helper API ) 所以如果你要隐藏自己的位置,永远不要打开手机的 WIFI 功能,它会泄漏你所有去过的地方,甚至精确到 10 米之内。 如何找到 BSSID 和位置的对应关系?只要你的附近有任何一个人安装了**宝,并且给了它位置权限,**宝就会上传 TA 的位置和附近所有的 BSSID。 即使你没有给它位置权限,只要任何一个可以搜索到这个 WIFI 热点的人给了位置权限,那它就知道了你的位置,想想想这些软件的安装量有多大? @honeycomb 那看来我威力无穷。 |
33
won 2017-12-29 22:56:13 +08:00
@yksoft1 不对,如果 LZ 老婆下飞机没有打开手机,但电池有电,在这种情况下 LZ 支付宝收到信息的话,应该就不是运营商的泄露,而是手机窃听方向了
|
34
18583826786 2017-12-29 23:06:59 +08:00 via Android
wifi 探针
|
36
hongh2 2017-12-30 00:07:43 +08:00 via Android
今天刚到南京,就收到了南京旅游委员会的温馨提示了。。。
|
37
Death 2017-12-30 00:46:01 +08:00 via Android
歪个题,有一种其他的可能性(情景受限的),lz 老婆在订机票时使用的帐号或者相关信息与那个手机号有关联吗?
|
38
ztshia 2017-12-30 02:08:07 +08:00 via Android
运营商会提供信息给阿里,包括宽带账号手机号身份证号姓名之类的,但是你这个应该跟运营商关系不大。利益相关:某运营商人员
|
39
citydog 2017-12-30 07:17:30 +08:00
这么好的服务,有啥可冷汗的,到死都不给你发个问候短信,就好了?哈哈哈哈
|
40
ctsed 2017-12-30 07:52:06 +08:00 via Android
31L+1,有些公司专门卖这个数据的,统计推送之类的 sdk 服务商也会记录,然后拿去用
|
41
beakey OP @yksoft1
@typcn @Quaintjade @ctsed @ztshia 关键问题是,两部手机,我的在海外,她的带着我的 SIM 卡回国,数据流量开启了,我在海外的手机收到的推送,这个推送一定是根据手机号推的,不可能根据**她的** IP 之类的发到**我的**支付宝。(她手机是 iPhone,第一次用我的 sim 卡) |
42
ctsed 2017-12-30 08:40:30 +08:00
@beakey 你老婆手机上安装国内应用没???特别是阿里系的
要说卖基站 wifi 对应的经纬度坐标还有可能,手机号位置数据还没人自己收集的全,单独为了机卡分离的情景买一套数据就为了弄个完全错误的结果? 另外,手机开了热点蓝牙等等,被别的手机或网络设备扫到也可能会上报。 |
43
ericbize 2017-12-30 09:24:56 +08:00 via Android
什么卖,阿里手持联通股份……
|
44
honeycomb 2017-12-30 09:55:55 +08:00 via Android 3
@typcn 很多人知道你是大牛,以前看你炸别人的钓鱼网站,还有做别的事自然不错。
但是这件事情你就是错了,而且显然是因为你没有接触最近的 Android 版本或 appops,我给你好好解释一下: 如果用一个比较低的 targetsdk sdk (好像是 Android 6 以前的某个 API level ),应用无需通过运行时权限即可获得: 附近 wifi 热点的 wifiinfo。 当前连接的热点的 wifiinfo。 对于其它应用 在 Android 6 ~ 8.1 的第二预览版之间 获取附近 WiFi 热点的 WiFiinfo 需要位置权限 当前连接的热点的 wifiinfo 则无需权限 在 Android8.1,没有定位权限,则拿不到任何一种情况下的 wifiinfo 上述三种情况下,appops 的设置也可以单独起作用,因此 appops 里设置为 ignore/deny 位置相关的 op 时: Android4.3 ~ Android8.1 dp2:只能拿到当前连接的 wifiinfo Android 8.1:拿不到任何一种 wifiinfo ------ 诶,自己看源代码吧 |
45
honeycomb 2017-12-30 10:02:47 +08:00 via Android
@typxn 补充:
低 target APIlevel 做法里,应用使用相关 API 不需要运行时权限,且隐含获得 appops 层面的许可。 因此这个时候在 appops 里关掉位置 op,它还是会受影响。 源代码上,涉及到类似权限的处理大多是: 1,(可选)有系统特权类应用才能有的特殊权限时,忽略后续直接返回正确结果 2,由运行时权限 guard 一次,通不过就炸 securityexception 3,最后由 appops 来 guard 一次,通不过时通常用返回 null/固定值来处理 |
47
xxx027 2017-12-30 12:17:50 +08:00
前阵子坐高铁经过 A 市 B 区,就收到了 A 市 B 区旅发委发来的 10650 开头的欢迎来到 XXX 的短信。卡是移动 4G 的,不过手机是 GSM 网络的功能机。: )
|
48
beakey OP |
50
ctsed 2017-12-30 22:10:15 +08:00
@beakey 国内应用用了第三方 sdk,sdk 本身收集这些信息,买了数据就知道某号码对应 位置,你老婆只要有一个开了定 位就关联到了,然后推到绑定这个手机的 x 宝上,明白没?聚合 api 这个 sdk 在 v 站就有被扒的记录
|
53
009694 2017-12-31 11:42:34 +08:00 via iPhone
最后一看 用飞猪买的机票🌚
|
54
beakey OP |
55
Mitt 2017-12-31 16:21:55 +08:00 via iPhone
https://image.ibb.co/cdcDjw/215_BE7_F3_5866_42_FF_B837_F3_E277_AA7489.png
一个小时前我把我太原的电话关机了 然后收到了这个通知 看来是机器学习的成果 我本人并不在太原现在 卡也不在 |
56
typcn 2019-04-11 09:25:13 +08:00
|