V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
beakey
V2EX  ›  分享发现

运营商给支付宝提供信息

  •  
  •   beakey · 2017-12-29 15:29:28 +08:00 · 7014 次点击
    这是一个创建于 2517 天前的主题,其中的信息可能已经有所发展或是发生改变。

    前提

    长居海外,支付宝定位常年关闭,绑定着国内的电话卡(联通)。

    正文

    老婆回国带着我国内的电话卡,刚下飞机,我支付宝收到一条支付宝的推送,大致意思市 xx 市欢迎你,推荐美食。

    而我并没有回国。关闭定位就没法获取位置信息了吗?顿时感觉自己 naive 了

    第 1 条附言  ·  2017-12-30 12:58:50 +08:00
    我的手机从始自终都在海外,支付宝绑定的是国内手机,但支付宝收到了推送。是我收到了推送。无论我老婆的任何应用获取了位置也是获取她的位置信息,跟我支付宝无关。

    既然支付宝知道了我的位置,只有一个可能是通过了手机号知道的。

    她没有打开任何阿里系应用,还没出海关,只是跟我聊了下微信。


    所以,你愿意相信是联通直接给了阿里数据呢?还是说其他途径得知位置+手机号,再把数据给阿里,阿里通过手机号查询到我的支付宝,再发送相关位置信息的推送?
    58 条回复    2019-04-11 10:21:24 +08:00
    dot
        1
    dot  
       2017-12-29 16:21:21 +08:00 via Android   ❤️ 1
    大概还是可以通过附近的 WiFi MAC 来定位你的……
    hatw
        2
    hatw  
       2017-12-29 16:30:22 +08:00
    。。。。这么恐怖?联通和支……¥%付宝互通?
    heiyutian
        3
    heiyutian  
       2017-12-29 16:32:18 +08:00 via Android
    @dot 你确定他老婆连了机场附近的 wifi?
    beakey
        4
    beakey  
    OP
       2017-12-29 16:41:06 +08:00
    @dot 我的支付宝收到推送,我在海外。
    b821025551b
        5
    b821025551b  
       2017-12-29 16:45:42 +08:00
    ip 定位不可以么,大惊小怪。
    iislong
        6
    iislong  
       2017-12-29 16:54:49 +08:00 via Android   ❤️ 1
    @b821025551b
    @heiyutian
    @dot 没审题,卡回国了,支付宝在海外收到卡落地的信息了
    beakey
        7
    beakey  
    OP
       2017-12-29 17:27:56 +08:00
    @iislong 是的!我想了半天。除了运营商,没有别的可能了。然后一身冷汗。。
    honeycomb
        8
    honeycomb  
       2017-12-29 17:29:56 +08:00 via Android
    @beakey 这应该就是卖数据的例子了
    honeycomb
        9
    honeycomb  
       2017-12-29 17:32:19 +08:00 via Android
    至于直接通过手机的定位方面是这样:

    iOS 在没有定位权限时,应用拿不到位置信息。
    Android 在 8.1 以前,没有定位权限时,应用还可以拿到当前已经连接着的 Wlan 的信息,因此能定位。

    这个消息已经能直接证明运营商确实在卖(精度至少到市级的)定位数据
    yksoft1
        10
    yksoft1  
       2017-12-29 17:32:58 +08:00
    你老婆回国没有开机吧?没有插卡没有开机,谁都不可能知道 SIM 卡到了哪里。
    假设你老婆开机(使用的是没有运行应用功能的功能手机),那就只有联通知道机器到了哪里。
    yksoft1
        11
    yksoft1  
       2017-12-29 17:33:37 +08:00
    然而,假设你老婆把你的卡装进任何一台带有 ali 系应用、使用了 ali 系 API 包的应用的安卓手机开机,则 ali 完全可以知道你的卡的 IMSI、ICCID、还有基站 /Wifi/GPS 等定位信息,通过 IMSI、ICCID 反查以往的登录数据库能查出它对应的手机号(如果你 SIM 里写入了本机号码就更简单不用查了),因此服务器就以为用绑定了你的手机卡的 alipay 的你回国了。
    ali 系应用、API 要那么多权限是有道理的。
    beakey
        12
    beakey  
    OP
       2017-12-29 17:40:49 +08:00
    @yksoft1
    @honeycomb
    我老婆用的 iPhone,并且确认过没有打开过任何 ali 系应用,而且她的支付宝也是关闭定位的。下飞机关闭飞行模式之后我就收到了推送。除了运营商。没有别的可能了。

    运营商可以根据基站信息提供相对精确的位置信息。至于有没有卖掉通话记录,常用联系人信息之类的,那就不得而知了。
    yksoft1
        13
    yksoft1  
       2017-12-29 17:45:13 +08:00
    @beakey 那还有一个可能,就是与 iPhone 关联的那个推送体系,也就是苹果向阿里泄露了信息。你老婆的 iPhone 关了数据连接、连接了 Wifi 没有?
    LuckCode
        14
    LuckCode  
       2017-12-29 17:46:17 +08:00 via iPhone
    有同学在运营商,他工作不久在我们群里说的第一句话就是:运营商什么都知道。
    wangxiaoer
        15
    wangxiaoer  
       2017-12-29 17:49:22 +08:00 via Android
    兄弟,手机定位本身就是 GPS, 基站,wifi 联合计算的,这种情况不能得出运营商卖数据,除非你认为基站定位属于卖数据。
    akira
        16
    akira  
       2017-12-29 17:50:19 +08:00
    信息打通给用户更好的使用体验,嗯
    jasontse
        17
    jasontse  
       2017-12-29 17:53:22 +08:00 via Android
    阿里现在是联通股东
    yksoft1
        18
    yksoft1  
       2017-12-29 17:59:42 +08:00
    @jasontse 混改之后的联通可不再有任何恪守“网络中立”的可能了。
    Level5
        19
    Level5  
       2017-12-29 18:04:20 +08:00
    @yksoft1
    @beakey

    11L 说得有道理,确实任何一个 APP(包括 IOS)系统都可能成为泄漏的来源,单凭这点是无法确定是否运营商卖的信息.

    除非 LZ 老婆用的是功能机.

    所以给个建议:LZ 下次你让老婆下飞机用功能机装上卡就知道了...
    honeycomb
        20
    honeycomb  
       2017-12-29 18:08:23 +08:00 via Android
    @Level5
    运营商确实在使用通过基站侧获得的用户数据。这件事知乎还是 v2 曾经有人说过,还放过实际的图。

    考虑到运营商都明面地宣布了和这些大企业建立了大数据合作,那么卖定位数据是非常有可能的。
    joeaaa
        21
    joeaaa  
       2017-12-29 18:12:24 +08:00
    反正我私以为各种合作卡的背后,肯定存在着某些 secret。没有利益就没有合作。
    xuan880
        22
    xuan880  
       2017-12-29 20:17:46 +08:00 via Android
    ip 定位呀
    typcn
        23
    typcn  
       2017-12-29 20:31:19 +08:00
    @honeycomb

    想多了
    Android 从 0.1 开始就可以读取附近的所有的 WIFI 名和 MAC 地址
    iOS 从 iOS 4 开始可以读取当前连接的 WIFi 名和 MAC 地址,从 iOS 10 开始可以读取附近所有的 WIFI 名和 MAC 地址

    均无需任何权限
    honeycomb
        24
    honeycomb  
       2017-12-29 20:36:15 +08:00 via Android
    @typcn
    错啦,如果你能证明它,你就能让太阳从西边出来
    honeycomb
        25
    honeycomb  
       2017-12-29 20:46:32 +08:00 via Android
    @typcn 我觉得你在说很早期的 Android 版本
    dot
        26
    dot  
       2017-12-29 20:57:01 +08:00 via Android
    测试
    dot
        27
    dot  
       2017-12-29 20:58:24 +08:00 via Android
    @dot 奇怪,正经回复,v2er 客户端为啥直接回首页……
    dot
        28
    dot  
       2017-12-29 20:59:11 +08:00 via Android
    @heiyutian 不用连的,只要开着 WiFi 允许 App 扫描,就能抓到附近的 mac 地址,一匹配就知道这个 WiFi 是哪里的……
    yksoft1
        29
    yksoft1  
       2017-12-29 21:12:18 +08:00
    总之,你下次做个实验。搞一台不能连接,或者可以完全禁止连接 PS 域( GPRS 拨号 3gnet,也就是指连接互联网)的 GSM/WCDMA 功能机,然后把卡插进去带到国外,关了机,回国再开机,看会不会出现到了哪里的提示。
    如果机器连接了联通的 CS 域却没有连接互联网,ali 还能知道你的位置,那联通卖数据就证据确凿了。
    然后,如果这样做发现 ali 不知道你的位置,那就做个对照组实验吧。
    Quaintjade
        30
    Quaintjade  
       2017-12-29 21:25:01 +08:00
    @typcn @honeycomb
    我记得 Android APP 是否需要权限才能获得 WLAN 定位信息取决于 APP 的 API Level 而不是系统版本。早期是无需定位权限就能获取(禁用定位权限仍无法阻止 WLAN 定位),较新的版本需要定位权限。
    //不排除我记错了……
    typcn
        31
    typcn  
       2017-12-29 22:32:00 +08:00   ❤️ 5
    @Quaintjade 不知道讲过多少次了。。

    它不需要你的 WLAN 定位信息,只需要获取一个信息,就是你当前连接的,或者是附近的 SSID 和 BSSID,读取这个是不需要询问用户的,除非你用 Xprivacy 拦截它,iOS 则没有任何办法拦截( CNCopyCurrentNetworkInfo or Hotspot Helper API )

    所以如果你要隐藏自己的位置,永远不要打开手机的 WIFI 功能,它会泄漏你所有去过的地方,甚至精确到 10 米之内。

    如何找到 BSSID 和位置的对应关系?只要你的附近有任何一个人安装了**宝,并且给了它位置权限,**宝就会上传 TA 的位置和附近所有的 BSSID。

    即使你没有给它位置权限,只要任何一个可以搜索到这个 WIFI 热点的人给了位置权限,那它就知道了你的位置,想想想这些软件的安装量有多大?


    @honeycomb 那看来我威力无穷。
    free4537
        32
    free4537  
       2017-12-29 22:51:53 +08:00
    @honeycomb 不一定吧,IP 定位,然后大数据。
    won
        33
    won  
       2017-12-29 22:56:13 +08:00
    @yksoft1 不对,如果 LZ 老婆下飞机没有打开手机,但电池有电,在这种情况下 LZ 支付宝收到信息的话,应该就不是运营商的泄露,而是手机窃听方向了
    18583826786
        34
    18583826786  
       2017-12-29 23:06:59 +08:00 via Android
    wifi 探针
    yksoft1
        35
    yksoft1  
       2017-12-30 00:01:42 +08:00
    @won 关机窃听,那是 CIA 级别的技术了。应该不会对一个没有犯罪、不掌握重要信息的普通平民使用
    hongh2
        36
    hongh2  
       2017-12-30 00:07:43 +08:00 via Android
    今天刚到南京,就收到了南京旅游委员会的温馨提示了。。。
    Death
        37
    Death  
       2017-12-30 00:46:01 +08:00 via Android
    歪个题,有一种其他的可能性(情景受限的),lz 老婆在订机票时使用的帐号或者相关信息与那个手机号有关联吗?
    ztshia
        38
    ztshia  
       2017-12-30 02:08:07 +08:00 via Android
    运营商会提供信息给阿里,包括宽带账号手机号身份证号姓名之类的,但是你这个应该跟运营商关系不大。利益相关:某运营商人员
    citydog
        39
    citydog  
       2017-12-30 07:17:30 +08:00
    这么好的服务,有啥可冷汗的,到死都不给你发个问候短信,就好了?哈哈哈哈
    ctsed
        40
    ctsed  
       2017-12-30 07:52:06 +08:00 via Android
    31L+1,有些公司专门卖这个数据的,统计推送之类的 sdk 服务商也会记录,然后拿去用
    beakey
        41
    beakey  
    OP
       2017-12-30 08:07:37 +08:00
    @yksoft1
    @typcn
    @Quaintjade
    @ctsed
    @ztshia

    关键问题是,两部手机,我的在海外,她的带着我的 SIM 卡回国,数据流量开启了,我在海外的手机收到的推送,这个推送一定是根据手机号推的,不可能根据**她的** IP 之类的发到**我的**支付宝。(她手机是 iPhone,第一次用我的 sim 卡)
    ctsed
        42
    ctsed  
       2017-12-30 08:40:30 +08:00
    @beakey 你老婆手机上安装国内应用没???特别是阿里系的
    要说卖基站 wifi 对应的经纬度坐标还有可能,手机号位置数据还没人自己收集的全,单独为了机卡分离的情景买一套数据就为了弄个完全错误的结果?
    另外,手机开了热点蓝牙等等,被别的手机或网络设备扫到也可能会上报。
    ericbize
        43
    ericbize  
       2017-12-30 09:24:56 +08:00 via Android
    什么卖,阿里手持联通股份……
    honeycomb
        44
    honeycomb  
       2017-12-30 09:55:55 +08:00 via Android   ❤️ 3
    @typcn 很多人知道你是大牛,以前看你炸别人的钓鱼网站,还有做别的事自然不错。

    但是这件事情你就是错了,而且显然是因为你没有接触最近的 Android 版本或 appops,我给你好好解释一下:

    如果用一个比较低的 targetsdk sdk (好像是 Android 6 以前的某个 API level ),应用无需通过运行时权限即可获得:
    附近 wifi 热点的 wifiinfo。
    当前连接的热点的 wifiinfo。

    对于其它应用
    在 Android 6 ~ 8.1 的第二预览版之间
    获取附近 WiFi 热点的 WiFiinfo 需要位置权限
    当前连接的热点的 wifiinfo 则无需权限

    在 Android8.1,没有定位权限,则拿不到任何一种情况下的 wifiinfo

    上述三种情况下,appops 的设置也可以单独起作用,因此 appops 里设置为 ignore/deny 位置相关的 op 时:
    Android4.3 ~ Android8.1 dp2:只能拿到当前连接的 wifiinfo

    Android 8.1:拿不到任何一种 wifiinfo


    ------
    诶,自己看源代码吧
    honeycomb
        45
    honeycomb  
       2017-12-30 10:02:47 +08:00 via Android
    @typxn 补充:

    低 target APIlevel 做法里,应用使用相关 API 不需要运行时权限,且隐含获得 appops 层面的许可。

    因此这个时候在 appops 里关掉位置 op,它还是会受影响。

    源代码上,涉及到类似权限的处理大多是:
    1,(可选)有系统特权类应用才能有的特殊权限时,忽略后续直接返回正确结果
    2,由运行时权限 guard 一次,通不过就炸 securityexception
    3,最后由 appops 来 guard 一次,通不过时通常用返回 null/固定值来处理
    yksoft1
        46
    yksoft1  
       2017-12-30 11:00:45 +08:00
    @beakey 数据流量开启了,那么可能性就多了一个。你还是得拿功能机做一次实验
    xxx027
        47
    xxx027  
       2017-12-30 12:17:50 +08:00
    前阵子坐高铁经过 A 市 B 区,就收到了 A 市 B 区旅发委发来的 10650 开头的欢迎来到 XXX 的短信。卡是移动 4G 的,不过手机是 GSM 网络的功能机。: )
    beakey
        48
    beakey  
    OP
       2017-12-30 12:51:05 +08:00
    @xxx027 短信自然可以理解。可能是联通自己发的。推送就不能理解了。
    @ctsed 安不安装国内应用没什么关系吧,获取位置也是她的位置,但收到推送的是我的手机。
    Death
        49
    Death  
       2017-12-30 20:52:41 +08:00 via Android
    @Death
    似乎这条被忽略了?能够泄露一个人位置的还有他的行程呀。
    ctsed
        50
    ctsed  
       2017-12-30 22:10:15 +08:00
    @beakey 国内应用用了第三方 sdk,sdk 本身收集这些信息,买了数据就知道某号码对应 位置,你老婆只要有一个开了定 位就关联到了,然后推到绑定这个手机的 x 宝上,明白没?聚合 api 这个 sdk 在 v 站就有被扒的记录
    yksoft1
        51
    yksoft1  
       2017-12-30 22:13:36 +08:00
    @Death 问题是,楼主自己并没有行程,是他老婆带着他的卡回国。
    Death
        52
    Death  
       2017-12-31 00:50:53 +08:00 via Android
    @yksoft1
    所以我在问订购机票所用的帐号或平台或者是使用的信息和那个号码有没有关系呀。
    009694
        53
    009694  
       2017-12-31 11:42:34 +08:00 via iPhone
    最后一看 用飞猪买的机票🌚
    beakey
        54
    beakey  
    OP
       2017-12-31 13:29:39 +08:00
    @Death
    @009694 从没用过飞猪
    @Death
    根据订票行程来推送?这是有多愚蠢才能做出这种行为。订了票就表示一定回去吗?
    Mitt
        55
    Mitt  
       2017-12-31 16:21:55 +08:00 via iPhone
    https://image.ibb.co/cdcDjw/215_BE7_F3_5866_42_FF_B837_F3_E277_AA7489.png

    一个小时前我把我太原的电话关机了 然后收到了这个通知 看来是机器学习的成果 我本人并不在太原现在 卡也不在
    typcn
        56
    typcn  
       2019-04-11 09:25:13 +08:00
    @honeycomb 抱歉,很久没上线。
    我确实很久没用 Android,上次使用还是在 4.0 时代,所以不清楚这些东西。
    我主要是为了说明各大软件滥用 WiFi 定位技术。
    typcn
        57
    typcn  
       2019-04-11 09:27:40 +08:00
    @typcn 各大软件滥用 WiFi 定位技术,因为软件只需要获取你当前连接的 WiFi,并不需要获取附近所有 WiFi,就可以获得你的位置。

    就算你没有授予他读取 wifi 信息的权限,你附近的人总有授予了的。
    honeycomb
        58
    honeycomb  
       2019-04-11 10:21:24 +08:00 via Android
    @typcn 我的语气不好,也向你抱歉
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3183 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 13:28 · PVG 21:28 · LAX 05:28 · JFK 08:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.