首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  信息安全

点开网页瞬间,窃取手机号,这是什么黑科技?

  •  
  •   hutng · 43 天前 via Android · 3113 次点击
    这是一个创建于 43 天前的主题,其中的信息可能已经有所发展或是发生改变。
    《点开网页瞬间被窃取隐私 访客手机号码被卖 1 元 1 条》 https://www.cnbeta.com/articles/tech/865121.htm
    28 回复  |  直到 2019-07-09 09:06:56 +08:00
        1
    saberlove   43 天前
    运营商有接口吧
        2
    edgnoz   43 天前
    移动和电信都有获取手机号的接口。。。联通不知道
        3
    abvatous   43 天前   ♥ 1
    插个眼,Androider 前排学习
        5
    JmmBite   43 天前
    一键本机手机号码账户登陆 app 那种。抖音也有,抓个包就了解了。
        6
    ochatokori   42 天前 via Android
    接口归接口,浏览器能够获取什么唯一的标志信息去接口换取手机号?
    反正浏览器访问就能拿到手机号的方法只能想到两个
    1 后端拿到访问客户端的 ip 再去运营商换取分配到这个 ip 的手机号
    2 像 qq 快速登录那种,手机上有一个有权限的 app 和浏览器交换数据
        7
    ochatokori   42 天前 via Android
    真有这么吊我还真想见识一下…
        8
    x86   42 天前 via iPhone
    @ochatokori 直接调接口,不是移动网络返回空就行了,以前看过返回别人截图,有字段给你判断
        9
    Jirajine   42 天前 via Android
    我寻思这个跟本地接口没关系吧。也和 Android,iOS 无关,甚至 PC 都一样。
    按他所说,需要 LTE 上网,并且其他人的“ http 流量”也能劫持,分明是运营商出了内鬼,跟搞 DNS 劫持,API 劫持的是一回事。
    所以对用户来说没什么太好的办法,安装知名杀毒软件( zhi ming bing du mu ma )?还是别搞笑了。
    真要防的话,全局流量走 VPN,走代理吧。
        10
    ochatokori   42 天前 via Android
    @x86 #8 那就是说这个 “接口” 根据访问者的 ip(想不到还有什么能和手机号关联了)就直接反推出手机号码了?因为浏览器根本不可能(或者我见识少)提供和手机号码有关系的特征信息
        11
    x86   42 天前 via iPhone
    @ochatokori 我以前看的截图是联通网络下访问,返回的 json 有一个字段标注了手机号,如果非移动网络访问就没那个字段了
        12
    LZSZ   42 天前
    我想除了运营商有接口,手机厂商也有接口。
        13
    x86   42 天前 via iPhone
    @ochatokori 没记错的话以前百度推广上医疗类网站有这种接口,可以查下历史文章看看
        14
    ochatokori   42 天前 via Android
    @x86 #11 感觉截图没有说服力…
    他捉的是你的手机号码吗

    如果真的是浏览器 0day 漏洞或者运营商在后面撑腰的黑产就不得了了
        15
    2067   42 天前


    参考文档
    《中国移动 GGSN 支持 APN 融合总体技术要求.doc 》
    注意 GGSN 是 2/3G 时候的网元名字,所以你就知道这个功能历史悠久了

    并不算什么黑产,最初的功能是用来保证 cmwap 登录网银的时候能够绑定手机号,后来发展成可以在运营商自己的商城快捷扣费,再后来用途就多了
        17
    soho176   42 天前
    真么厉害,谁有这个技术,我想用
        18
    2067   42 天前
    @soho176 #17 然而这个东西确实需要有内鬼配合改运营商网关的配置,其实是谁干的一查便知
        19
    gamexg   42 天前
    >> “如果抓取别人的网站,只能抓普通‘ http ’打头的网页访客,不能抓‘ https ’打头的,因为加密传输的抓不了。除了网页,手机 App 也能抓取,技术都是一样的”,周伟称。
        20
    felixlong   42 天前   ♥ 1
    仔细想想。营运商是怎么做浏量计费的就知道它是有办法得到你手机号码的。再怎么躲在 VPN 后面都没有用。
        22
    opengps   42 天前 via Android
    以前运营商在网页嵌入流量提示的代码被利用了吧
        23
    20015jjw   42 天前 via Android
    @ochatokori 还真有.. 直接塞一个加密字段在 header 里 用字段 lookup 电话... 是和运营商合作的...
        24
    longxiaoyun   42 天前
    我记得好久之前就有 抓取 QQ 号码 还有手机号码的 ,后来消停了一阵,之前百度推广的一些用户就用这个。
        25
    dawn009   42 天前
    @felixlong #20 在 VPN 后面,运营商虽然能流量计费,但不知道访问了哪个网站,因此可以避免网站通过运营商得知访客的身份。
        26
    ShundL   42 天前 via iPhone
    这个运营商确定有接口的,朋友有开发过类似业务的,我看过文档。
        27
    liuxey   42 天前
    营运商接口、大数据多维度匹配都是可以的
        28
    o0   42 天前
    以前比较猖獗,后来严打后几乎绝迹了,多少年又没管了,一些公司已经开始宣传他们的这种新产品了。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3804 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 26ms · UTC 08:20 · PVG 16:20 · LAX 01:20 · JFK 04:20
    ♥ Do have faith in what you're doing.