禁止 App 借助营运商获取手机号码以实现一键登录

2023-09-26 23:56:35 +08:00
 maleclub

看贴 https://www.v2ex.com/t/939831 有感,不想让手机上的几个 app (美团,支付宝,还有银行类)有可能借此获得我的手机号码,特意测试了一下。方法也比较简单。

# 中国移动
0.0.0.0 config.cmpassport.com
0.0.0.0 www.cmpassport.com
0.0.0.0 wap.cmpassport.com
0.0.0.0 onekey1.cmpassport.com
0.0.0.0 log1.cmpassport.com
0.0.0.0 smsks1.cmpassport.com
0.0.0.0 verify.cmpassport.com

# 中国联通
0.0.0.0 opencloud.wostore.cn
0.0.0.0 auth.wosms.cn
0.0.0.0 id.mail.wo.cn
0.0.0.0 mdn.open.wo.cn
0.0.0.0 hmrz.wo.cn
0.0.0.0 nishub1.10010.com
0.0.0.0 enrichgw.10010.com

# 中国电信
0.0.0.0 id6.me
0.0.0.0 open.e.189.cn
16059 次点击
所在节点    Android
63 条回复
GeekGao
2023-09-27 17:53:51 +08:00
@shijingshijing “每次 App 都会通过运营商 SDK 拿到联通的号的前三和后四位” 这描述是不准确的。
因为不论是移动还是电信,SDK 都是开放平台提供的,能力是官方(即运营商)封装好的,在未授权时应用接入方面(即 APP 端)是拿不到的。虽然你可以见到,但是并不意味着 APP 可以拿到。

当然如果杠一下说:程序截屏啊、0day 啊啥的,当我没说 😓
maleclub
2023-09-27 18:08:12 +08:00
@easylee 好的,建议不错。
GeekGao
2023-09-27 18:14:23 +08:00
@maleclub 较个真: 双卡你测过吗,通常一键登录 sdk 只会切 4G 网后与网关通信,双卡双待手机只取当前流量卡号啊,难不成你两张卡都能同时识别?
D6IIx
2023-09-27 18:21:26 +08:00
@GeekGao app 不让你用密码登陆呢?不授权输入密码显示错误,签了授权之后就正常了,协议正文的修改和解释权都在对方手里
shijingshijing
2023-09-27 18:39:38 +08:00
@D6IIx 现在的 App 还不至于这么疯狂,毕竟要考虑到 WIFI 条件下登录的情况。强迫要求使用流量登录,我还只看到部分银行的 App 在首次登录时会有这种要求。
gadfly3173
2023-09-27 18:41:25 +08:00
@D6IIx 你这个场景题主的办法也搞不定啊?甚至可以说没有办法能解决,毕竟登录接口是人家的
gadfly3173
2023-09-27 18:44:23 +08:00
同 39 楼的说法,此举就是掩耳盗铃,运营商的 sdk 完全可以换个域名/使用自己的加密 dns ,只要你入网了运营商就知道你的手机号,要不要提供给 app 完全由运营商决定,毕竟获取手机号的回调是在服务端的,app 端只是给你个界面获取你的授权。
shijingshijing
2023-09-27 19:01:43 +08:00
@GeekGao 你理解错了,我告诉你这个流程是怎么操作的吧。
以淘宝 App 和联通 SDK 为例,淘宝 App 在上架之前就已经集成了联通 SDK ,用户首次登录的时候,如果使用手机 4G/5G 数据网络登录,不做任何防护措施,淘宝 App 能通过联通 SDK 拿到 135****8888 这种形式的不完整本机号码的,不需要用户授权和同意(或者说这部分授权和同意是你办联通卡入网的时候已经完成了),这个不完整的号码已经可以用来做用户画像了。当你不选择使用用户名密码或者手机号验证码登录,继续一键登录的时候,淘宝 App 会提示你需要你授权,这个时候有三个确认项,一个是联通的一键登录授权;另外两个是淘宝的登录和隐私授权。如果你确认了,登录成功,淘宝 App 此时能获取你当前使用的流量卡的完整号码,比如 13515158888 。

如果是双卡手机,你注册淘宝的时候又不是用的 13515158888 这个号,而是手机上另一个没开流量的移动号码,意味着淘宝能获取到你的两个号码。
billlee
2023-09-27 19:07:39 +08:00
@GeekGao 不需要什么截图啊 0day 啊, in app webview 受 app 控制,直接读取 DOM, 或者帮你点确认都是可以的
smlcgx
2023-09-27 19:09:43 +08:00
运营商侧的,联通可以打电话要求关闭
hellomynameis
2023-09-27 20:50:34 +08:00
@GeekGao GV, 不至于同时插 86 和 1 的实体卡
GeekGao
2023-09-27 21:31:39 +08:00
@shijingshijing 你的意思是: “淘宝 App 能通过联通 SDK 拿到 135****8888 这种形式的不完整本机号码的” 这个过程,APP 能从联通 SDK 读到这串数据是吗? 确定这不是 SDK UI 显示的数据吗?
GeekGao
2023-09-27 21:32:37 +08:00
@billlee 老师说, 你研究过移动一键登录 SDK 吗?研究一下看看你 APP 有没有这种能力吧
codeMore
2023-09-28 11:25:54 +08:00
接过网易易盾一键登录 SDK 的服务端,我们拿不到类似 182****7897 这类信息,而且客户端给服务端的也是一个 token ,得去访问渠道服务端 api 才能完整拿到手机号。而这个 token 得用户同意才能拿到。所以本质上三方应用在用户未授权的时候是拿不到手机号信息的。
Admin8012
2023-09-30 16:26:03 +08:00
物理隔绝是最好的
deep123
2023-10-12 19:21:33 +08:00
这个一键登录的危害,我举个例子哈,如果你的手机丢了,被不怀好意的人捡到,然后别人就可以用你的手机卡一键登录很多 APP 从而获取你一些应用账户的信息或权限。
maleclub
2023-10-12 21:03:04 +08:00
@deep123 也对,99%的朋友应该不会给 sim 卡上 PIN 锁,我之前锁过,不过坑了自己一次之后就没再上锁过。
deep123
2023-10-13 11:14:49 +08:00
找了天翼账号的客户问到了 https://e.189.cn/help/feedbackPage.do 给客服提供。
( 1 )、使用云盘账号本机致电客服热线( 4008281189 )
( 2 )、云盘账号最近 3 个月内 2 次充值记录(含号码、时间、金额)截图+身份证正反面照片
( 3 )、云盘账号手机营业厅(电信/移动/联通掌厅)首页或我的界面截图(含号码)+身份证正反面照片
( 4 )、云盘账号手机号的开户证明照片

提供第三项和一二四项中的任选一项。
maogang39
2023-11-01 09:06:19 +08:00
@deep123 是不是电信号才去找天翼的客服,移动号也要找天翼客服吗?
疑惑第三项的 (电信/移动/联通掌厅)
Jirajine
50 天前
@GeekGao
@codeMore

手机号显示在 App 的 UI 里,那 App 的进程必然是已经拿到了的。不能硬要说 SDK 提供的库函数没有暴露出来就等于没拿到, 已经存在我自己进程的内存里面的数据,想拿到怎么都有办法拿到。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/977411

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX