我 TM 今天震惊了,朋友发给我一个莫名其妙的外部非微信小程序直播链接,我点进去了,弹出是否允许获取信息,我点了拒绝就关了,结果这个直播的团队来推销电话了,我问了问他们,他们说他们有一个外呼系统,只能看到我的尾号后四位,不能删除。
我问了问我朋友,他也是从这个链接看的直播,没下载其他 APP ,不存在其他 APP 读通讯录的情况。
我清楚地记得,我明确没有点同意按钮,直接后退了这个页面!!!
我怀疑有什么东西伪造了我同意的请求,或者 Oauth 阶段伪造我向微信端发了什么请求,让网站后台的人通过某些接口拿到了我的手机号。
我目前猜不出别的原因。大家不要点击乱七八糟的链接。这个公司和链接我不发了,我自己先拿抓包工具研究研究再说。
 |
1
zm2020 6 天前
用手机流量访问的吗?
|
 |
2
importmeta OP @zm2020 是,这页面难道调运营商哪个快捷登录接口了?
|
 |
3
imdong 6 天前 via iPhone
移动的么?我知道自动有获取手机号的接口卖,属于灰产。
|
 |
4
NueXini 6 天前  2
是不是手机流量免登录的接口 
|
|
5
importmeta OP |
 |
6
01802 6 天前 via Android
估计以后拒绝都不要点,直接划拉走
|
 |
7
xAI 6 天前
使用手机网络运营商有 API 获取手机号码,这个种服务存在好多年了。
|
|
8
imdong 6 天前 via iPhone
没办法防,全自动无痕的,页面后台加载一个 JS ,JS 把页面参数提交给后台即可,只有一个 GET 请求,后台自动关联手机号,甚至禁用 JS 都不影响。
|
 |
9
laminux29 6 天前
@importmeta 你关了也没用,你家宽的 IP 也能查到绑定户主的信息以及联系方式。除非全家套梯子访问,让对方服务器拿到梯子的 IP ,这样才能真正保护原始 IP 。
|
 |
10
shijingshijing 6 天前
@laminux29 这个其实现在也越来越受限了,很多国产 App 一旦不让他们读取手机和流量特征,就给你报环境异常。
|
 |
11
yidev 6 天前
灰产库里拿你 ID 比对出来的.
|
 |
12
kneo 5 天前 via Android
点了个直播链接就有人打电话给你?卖啥的啊这么厉害?
|
 |
13
cnrting 5 天前 via iPhone
点击拒绝表示您同意🐶
|
 |
14
Yuunie 5 天前
手机号有什么关系,大部分赌博网站应该都知道我的手机号,现在我都不接电话的
|
 |
15
longlonglanguage 5 天前
我就搜了个种植牙,就有人给我打推销电话。我已经是把输入法给禁网的,非常小心的状态。我猜测这些平台本身内部就有内鬼,可以指定监控某个关键词,当有人搜索的时候,他就可以获取到你绑定的平台手机号,当然更多的信息他也不知道,他只知道你搜过某个关键词。
|
 |
16
qinrui 5 天前
@longlonglanguage 珍爱生命,远离百毒
|
 |
17
WuDiHaiTai 5 天前
@longlonglanguage 碰巧吧,我最近接到好多种植牙的电话,实际上那个号是新办的号,没几天就收到了,估计是扫段的那种拨打,安徽号。
|
 |
18
honkew 5 天前
太多了 你压根不知道从哪个环节泄露出去的
|
 |
19
zjyl1994 5 天前
应该是走的运营商无感登录方式,用流量就会被获取到(甚至连了 wifi 也会)。
|
 |
20
kyro00000 5 天前
无差别的对待那种吧?属于瞎猫碰死耗子的
我办了张了流量卡,不能打给别人打电话的那种。。 结果有人打电话,我也不知道我干啥了,平时就用了刷刷视频和购物网站。 |
|
21
importmeta OP @kyro00000 不是,很有指向性,就是我点的这个直播里面的人打来的。
|
 |
22
nmap 5 天前
很可能拒绝也等于同意,页面显示而已
|
 |
23
irunfat 4 天前 2
是移动运营商提供的接口,让你一键登陆,我都关了,方法如下:
电信:用要关的手机号拨打电话 400-828-1189 ,按语音提示 6 - 4 ,说关闭一键登陆功能。 联通: 创新能力平台客服热线 400-009-6800 ,并要求永久关闭致电号码的一键认证业务。 移动: 一、联系移动认证客服 QQ ( 3171572822 ),提供手机号,要求永久关闭号码认证、H5 号码认证业务。 二、拨打 10086 转人工服务,要求关闭致电号码的号码认证、H5 号码认证业务,若客服无法搜索到该业务,要求升级工单,并在工单中注明该业务归属中国移动互联网能力开放平台,由中移互联网有限公司相关专员进行后续回复。 |
 |
24
TechOrange 4 天前
没懂大家的意思,运营商开发的号码认证接口,不是很方便吗,平时我都是打开流量一键登录的。大家是担心因为勿碰,把号码上交给第三方?一键登录不是有运营商的授权界面吗,难道这个会被第三方篡改吗
|
 |
25
louol 4 天前 via Android
@TechOrange 可能是有无痕开盒的风险:正规的要你确认,不正规的你只要用手机流量打开链接就能知道你手机号(若上面信息属实这就是例子)。用的久用各种平台多的手机号,基本可以跟实名信息各种地址关联。你愿意无痕裸奔就无所谓,不知道我的理解对不对。
|
 |
26
numoone 4 天前
运营商的设备目前有一种叫 http header enrichment 的功能,在你使用手机访问某个指定的 http url 的时候,会将你的电话号码/手机型号等信息嵌入到 http header 里,这样 server 端就能获得你的相关信息了。当然,理论上这个指定的 url 需要经过内部多重审核才能配置在设备上。
|
 |
27
Mandelo 4 天前
@shijingshijing 很多,有的直接提示我在用代理。。。
|
|
28
TechOrange 4 天前
@louol 是的,存在服务被滥用的可能,一键登录确实有风险
|
|
29
louol 4 天前 via Android 1
@TechOrange 不是存在可能,这事好像不新鲜了……查了一下 22 年就有公开报道明确写了打开网页就能获取手机号,虽然那个经理说的 mac 地址匹配我觉得就是扯淡,除了运营商没更方便的渠道了。
315 晚会丨浏览网页就能泄露手机号!起底骚扰电话背后的秘密 |
 |
30
skallz 3 天前
一几年的时候就已经见过了,好像是有提供一个 sdk ,嵌入 sdk 网页就能获取部分用户信息,不过浏览器本身应该是没有这种功能的,估计是靠什么特征识别用户,然后大数据返回匹配的用户信息
|
 |
31
zhengxiaowai 3 天前
随时能买。。。
|
Select Language