315 曝光的浏览网页就能获取用户手机号是怎么做到的?

2022-03-16 02:26:19 +08:00
 saleacy
例:某用户浏览了某购物平台,软件公司就能获取到该用户的手机号码。

疑问:软件公司并没有购物网站的后台管理权限,他是怎么获取到该用户手机号的。。。

纯技术疑问
12357 次点击
所在节点    程序员
63 条回复
DCjanus
2022-03-16 02:38:15 +08:00
一种办法是 CSRF ,大网站有很多犄角旮旯没人维护的 API ,配置的有问题的话就会有漏洞,比如不小心允许所有 Reference 访问 /xx/userinfo
FirefoxChrome
2022-03-16 02:46:07 +08:00
精准的大数据。
eason1874
2022-03-16 03:21:32 +08:00
有一种方法几乎没有难度,你想刑就能行

移动数据上网,运营商某些接口会明文返回手机号,直接请求那些网址就能拿到手机号

现在大部分手机都会同时开启双通道加速,就是说移动数据总是开着的
ZE3kr
2022-03-16 03:30:35 +08:00
运营商提供给网站的或者是运营商漏洞

宽带的话 IP 定位可以定位到具体哪条街哪栋楼
AirShark
2022-03-16 03:46:48 +08:00
@ZE3kr 公网 IP 岂不是可以定位到个人?
ZE3kr
2022-03-16 03:59:54 +08:00
@AirShark 我说的是能比较容易买得到的商业 IP 数据库。定位到个人的数据库 /API 不好搞
cxy2244186975
2022-03-16 04:56:44 +08:00
这个东西好像是几年前的东西了吧
叫什么运营商访客统计
好几年没玩都忘了
记得当时我搞的是这个单页竞价系统
没错,就是一个单页。
然后只要是手机用户打开这个网页的话,就会调用这个运营商的这个充值接口
然后你那个页面里面直接只需要监控那个充值的这个手机号码就完事了。
然后手机号就拿下来了
不仅仅是手机号,包括 QQ 啊什么的都能拦截到。
datocp
2022-03-16 06:04:02 +08:00
有什么方法让它拿不到?
shiganwuguo
2022-03-16 07:16:31 +08:00
运营商有一键登录 有 api 直接返回你的手机号
Chism
2022-03-16 08:04:12 +08:00
@ZE3kr 这么说运营商也无法逃避责任,央视应该一起点名才好
Explr
2022-03-16 08:22:52 +08:00
节目里有提到 MAC ,获取到 MAC 可以关联其他渠道泄露的 MAC-手机号关系来确定手机号。但是 Chrome/Firefox 上的 js 似乎都不能获取 MAC 地址,不知道其他浏览器有没有相关 API 。
当然了也不排除那个总经理说的并不准确。
GPLer
2022-03-16 08:26:45 +08:00
有一种方法是通过 fingerprinting 。
比如说 X 注册并实名了 A 站,A 站计算了 fingerprinting 将 X 的实名信息和 fingerprinting 关联。
那么 B 站只需要通过 fingerprinting 知道你是 X ,那哪怕你没注册或没实名,也能用 X 的 fingerprinting 去 A 系统查询到实名信息。
所以说实名制才是万恶之源(/doge
GPLer
2022-03-16 08:27:48 +08:00
@Chism SEO 被查百度都没事,摆明了欺软怕硬,不可能动国企的。
ChrisFreeMan
2022-03-16 08:46:18 +08:00
@eason1874 原来如此,我说怎么看些瑟瑟的网站,总会收到瑟瑟的垃圾短信
HFX3389
2022-03-16 08:47:03 +08:00
> 云信一键登录整合三大运营商,支持国内三网手机号段,Android/iOS 手机,可通过一键获取用户手机号的 SDK 产品,建立以手机号码作为去中心化的开放账号体系,提升注册转换效率的必备功能。

> 号码认证服务( Phone Number Verification Service )整合三大运营商特有的网关认证能力,验证用户本机号码与输入号码或账号绑定号码的一致性,升级短信验证码体验,应用于用户注册、登录、安全校验等场景,实现无感知校验。
inoreader
2022-03-16 09:08:40 +08:00
@GPLer 有人拿刀砍人了,社会应该禁止刀的生产、流通、买卖。
statement
2022-03-16 09:23:09 +08:00
运营商返回的是脱敏后的手机号吧。不是全部
ruixue
2022-03-16 09:36:43 +08:00
@statement /t/712885 #41

> 接过网抑某服务的表示,SDK 里面直接就没有用户授权这个说法,直接就一个接口返回手机号了;
> APP 里面显示的是否授权,就只是给用户看的一个 UI 组件

即使不是这样,请求运营商手机号 api 的时候也可以伪装成已获得用户授权,要求 api 提供完整的手机号,反正这个授权又没有什么方法去验证,只是显示一个界面让用户去点确认,那它直接后台“帮”用户点确认也不是不可以
mikuazusa
2022-03-16 09:44:42 +08:00
fingerprinting 正解,很多大厂生态数据都做到了内循环、内部自动关联,根本无处可躲
Chism
2022-03-16 09:53:45 +08:00
@GPLer
也对,就像反垄断都不去反那种真正垄断的大大大企业,都是拿人家辛苦打拼的民营企业开刀

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/840643

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX