我 TM 今天震惊了,朋友发给我一个莫名其妙的外部非微信小程序直播链接,我点进去了,弹出是否允许获取信息,我点了拒绝就关了,结果这个直播的团队来推销电话了,我问了问他们,他们说他们有一个外呼系统,只能看到我的尾号后四位,不能删除。
我问了问我朋友,他也是从这个链接看的直播,没下载其他 APP ,不存在其他 APP 读通讯录的情况。
我清楚地记得,我明确没有点同意按钮,直接后退了这个页面!!!
我怀疑有什么东西伪造了我同意的请求,或者 Oauth 阶段伪造我向微信端发了什么请求,让网站后台的人通过某些接口拿到了我的手机号。
我目前猜不出别的原因。大家不要点击乱七八糟的链接。这个公司和链接我不发了,我自己先拿抓包工具研究研究再说。
 | 1 zm2020 3 天前 用手机流量访问的吗? |
 | 2 importmeta OP @zm2020 是,这页面难道调运营商哪个快捷登录接口了? |
 | 3 imdong 3 天前 via iPhone 移动的么?我知道自动有获取手机号的接口卖,属于灰产。 |
| 5 importmeta OP |
 | 6 01802 2 天前 via Android 估计以后拒绝都不要点,直接划拉走 |
 | 7 xAI 2 天前 使用手机网络运营商有 API 获取手机号码,这个种服务存在好多年了。 |
| 8 imdong 2 天前 via iPhone 没办法防,全自动无痕的,页面后台加载一个 JS ,JS 把页面参数提交给后台即可,只有一个 GET 请求,后台自动关联手机号,甚至禁用 JS 都不影响。 |
 | 9 laminux29 2 天前 @importmeta 你关了也没用,你家宽的 IP 也能查到绑定户主的信息以及联系方式。除非全家套梯子访问,让对方服务器拿到梯子的 IP ,这样才能真正保护原始 IP 。 |
 | 10 shijingshijing 2 天前 @laminux29 这个其实现在也越来越受限了,很多国产 App 一旦不让他们读取手机和流量特征,就给你报环境异常。 |
 | 11 yidev 2 天前 灰产库里拿你 ID 比对出来的. |
 | 12 kneo 2 天前 via Android 点了个直播链接就有人打电话给你?卖啥的啊这么厉害? |
 | 13 cnrting 2 天前 via iPhone 点击拒绝表示您同意 |
 | 14 Yuunie/a> 2 天前 手机号有什么关系,大部分赌博网站应该都知道我的手机号,现在我都不接电话的 |
 | 15 longlonglanguage 2 天前 我就搜了个种植牙,就有人给我打推销电话。我已经是把输入法给禁网的,非常小心的状态。我猜测这些平台本身内部就有内鬼,可以指定监控某个关键词,当有人搜索的时候,他就可以获取到你绑定的平台手机号,当然更多的信息他也不知道,他只知道你搜过某个关键词。 |
 | 16 qinrui 2 天前 @longlonglanguage 珍爱生命,远离百毒 |
 | 17 WuDiHaiTai 2 天前 @longlonglanguage 碰巧吧,我最近接到好多种植牙的电话,实际上那个号是新办的号,没几天就收到了,估计是扫段的那种拨打,安徽号。 |
 | 18 honkew 2 天前 太多了 你压根不知道从哪个环节泄露出去的 |
 | 19 zjyl1994 2 天前 应该是走的运营商无感登录方式,用流量就会被获取到(甚至连了 wifi 也会)。 |
 | 20 kyro00000 2 天前 无差别的对待那种吧?属于瞎猫碰死耗子的 我办了张了流量卡,不能打给别人打电话的那种。。 结果有人打电话,我也不知道我干啥了,平时就用了刷刷视频和购物网站。 |
| 21 importmeta OP @kyro00000 不是,很有指向性,就是我点的这个直播里面的人打来的。 |
 | 22 nmap 1 天前 很可能拒绝也等于同意,页面显示而已 |
 | 23 irunfat 1 天前  1 是移动运营商提供的接口,让你一键登陆,我都关了,方法如下: 电信:用要关的手机号拨打电话 400-828-1189 ,按语音提示 6 - 4 ,说关闭一键登陆功能。 联通: 创新能力平台客服热线 400-009-6800 ,并要求永久关闭致电号码的一键认证业务。 移动: 一、联系移动认证客服 QQ ( 3171572822 ),提供手机号,要求永久关闭号码认证、H5 号码认证业务。 二、拨打 10086 转人工服务,要求关闭致电号码的号码认证、H5 号码认证业务,若客服无法搜索到该业务,要求升级工单,并在工单中注明该业务归属中国移动互联网能力开放平台,由中移互联网有限公司相关专员进行后续回复。 |
 | 24 TechOrange 1 天前 没懂大家的意思,运营商开发的号码认证接口,不是很方便吗,平时我都是打开流量一键登录的。大家是担心因为勿碰,把号码上交给第三方?一键登录不是有运营商的授权界面吗,难道这个会被第三方篡改吗 |
 | 25 louol 1 天前 via Android @TechOrange 可能是有无痕开盒的风险:正规的要你确认,不正规的你只要用手机流量打开链接就能知道你手机号(若上面信息属实这就是例子)。用的久用各种平台多的手机号,基本可以跟实名信息各种地址关联。你愿意无痕裸奔就无所谓,不知道我的理解对不对。 |
 | 26 numoone 1 天前 运营商的设备目前有一种叫 http header enrichment 的功能,在你使用手机访问某个指定的 http url 的时候,会将你的电话号码/手机型号等信息嵌入到 http header 里,这样 server 端就能获得你的相关信息了。当然,理论上这个指定的 url 需要经过内部多重审核才能配置在设备上。 |
 | 27 Mandelo 1 天前 @shijingshijing 很多,有的直接提示我在用代理。。。 |
| 28 TechOrange 1 天前 @louol 是的,存在服务被滥用的可能,一键登录确实有风险 |
| 29 louol 23 小时 16 分钟前 via Android 1 @TechOrange 不是存在可能,这事好像不新鲜了……查了一下 22 年就有公开报道明确写了打开网页就能获取手机号,虽然那个经理说的 mac 地址匹配我觉得就是扯淡,除了运营商没更方便的渠道了。 315 晚会丨浏览网页就能泄露手机号!起底骚扰电话背后的秘密 |
 | 30 skallz 6 小时 42 分钟前 一几年的时候就已经见过了,好像是有提供一个 sdk ,嵌入 sdk 网页就能获取部分用户信息,不过浏览器本身应该是没有这种功能的,估计是靠什么特征识别用户,然后大数据返回匹配的用户信息 |
 | 31 zhengxiaowai 32 分钟前 随时能买。。。 |
Select Language