V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zxcslove
V2EX  ›  互联网

移动电信联通三家的免密登录是否有泄露用户号码的风险?如何反制?

  •  
  •   zxcslove · 2021-02-08 12:27:46 +08:00 · 4498 次点击
    这是一个创建于 1387 天前的主题,其中的信息可能已经有所发展或是发生改变。

    下载一个 app (比如夸克),如果使用流量上网,点击一键登录就会显示用户的手机号,无需用户授权就获得了手机号码,这个过程如何保障用户隐私?

    这种授权不像微信的 oauth 在官方客户端操作,而是第三方 app 内,运营商能否保证操作是用户发起的?

    用户对这种行为有何反制措施?我试过拨打电信 10000 投诉,对方直接下派到地市公司处理反馈,反馈人员对这种业务一无所知,表示无法验证,让用户保持关注云云,逼急了就让用户走法律程序,也不接受用户反馈网址和截屏之类的。

    下面是这种所谓“用户无感”的号码认证服务的业务网站

    电信 https://id.189.cn/banner/unPassword

    移动 https://ecloud.10086.cn/home/product-introduction/numverify

    联通 http://saas.wostore.cn/solution.html?param=1&num=3

    21 条回复    2021-02-12 14:49:30 +08:00
    xmumiffy
        1
    xmumiffy  
       2021-02-08 12:31:39 +08:00 via Android
    你不点确认应用是拿不到手机号的
    zxcslove
        2
    zxcslove  
    OP
       2021-02-08 12:38:02 +08:00
    @xmumiffy 那么在点确认之前,界面上显示的号码是掌握在运营商 SDK 那里还是在 app 这边呢?
    cheng6563
        3
    cheng6563  
       2021-02-08 12:40:14 +08:00 via Android
    @zxcslove 显示的也是打码了
    zxcslove
        4
    zxcslove  
    OP
       2021-02-08 12:42:27 +08:00
    实测(夸克)如果不点确认,下次打开 app 时用户昵称的地方也会直接显示加星号的号码,右边有一个一键登录。
    在这个阶段,号码会被 app 经手吗?
    xmumiffy
        5
    xmumiffy  
       2021-02-08 12:51:02 +08:00 via Android
    不确认只能拿到带星号的号码 确认后才给全号码
    zxcslove
        6
    zxcslove  
    OP
       2021-02-08 13:24:23 +08:00
    带星号的号码已经不安全了,结合 ip 和区号有一定比例可以直接猜中。
    Jirajine
        7
    Jirajine  
       2021-02-08 13:34:57 +08:00   ❤️ 1
    # 运营商手机号授权 api
    ||config.cmpassport.com^
    ||www.cmpassport.com^
    ||opencloud.wostore.cn^
    ||id6.me^
    ||open.e.189.cn^

    从别人那里看到的,未测试是否有效。
    wofave
        8
    wofave  
       2021-02-08 13:37:53 +08:00 via iPhone   ❤️ 1
    /t/751694 三楼的 @processzzp 给了一个方法(本人 iOS + Quantumult X 对以下域名添加 Reject 分流规则+ 移动 4G + 夸克.app ,实测有效):


    三家运营商的本机号码认证业务域名

    移动: *.cmpassport.com
    联通: *.hmrz.wo.cn
    电信: *.e.189.cn

    通过你喜欢的方法,把上述域名的流量屏蔽掉就可以了。
    zxcslove
        9
    zxcslove  
    OP
       2021-02-08 13:53:26 +08:00
    @Jirajine
    @wofave
    感谢
    chinvo
        10
    chinvo  
       2021-02-08 14:04:29 +08:00 via iPhone
    我以前对过移动的 sdk,不确认之前什么都拿不到,所有展示都是 sdk 内置的 ui

    不清楚其他家和现在移动有没有变化
    secretman
        11
    secretman  
       2021-02-08 14:04:52 +08:00
    预登陆阶段拿不到完整手机号码
    zxcslove
        12
    zxcslove  
    OP
       2021-02-08 14:07:43 +08:00
    @chinvo 请问运营商的 SDK 通过什么机制保证自己可以不被遮蔽或者机器点击?不考虑 root 和开启辅助的情况。
    zxcslove
        13
    zxcslove  
    OP
       2021-02-08 14:09:00 +08:00
    @secretman 这个仍然是有风险的,很多人的号码中段是区号,通过 IP 识别区号后,和 111****2222 这样的部分拼起来就是真实手机号码了。
    chinvo
        14
    chinvo  
       2021-02-08 14:09:42 +08:00 via iPhone
    @zxcslove #11 所以我用 iOS,不需要考虑遮蔽或者程序点击。

    Android 上,没记错的话,新版对于浮动层,是有权限限制的。自动化没具体了解过。
    secretman
        15
    secretman  
       2021-02-08 16:51:29 +08:00
    @chinvo ios 一样的,我就是 Android 开发,我司 App,Android 、ios 都有一键登录
    ruixue
        16
    ruixue  
       2021-02-08 17:03:54 +08:00
    /t/712885
    见#17 #35
    ruixue
        17
    ruixue  
       2021-02-08 17:09:18 +08:00
    对了,/t/712885 的#41 还有 V 友说
    “接过网抑某服务的表示,SDK 里面直接就没有用户授权这个说法,直接就一个接口返回手机号了;
    APP 里面显示的是否授权,就只是给用户看的一个 UI 组件”
    chinvo
        18
    chinvo  
       2021-02-08 18:01:17 +08:00 via iPhone
    @secretman #14 我说的是 iOS 用户不用担心遮蔽+自动化点击的方式绕过用户确认这一步

    没说 iOS 没有一键登录
    march1993
        19
    march1993  
       2021-02-08 18:03:22 +08:00 via iPhone
    那星号是 app 给打的马赛克吧
    likai
        20
    likai  
       2021-02-09 05:52:30 +08:00 via Android
    数据流量上网从 gprs 时代三大运营商就有接口直接返回手机号,只是后来做了限制。
    没办法反制,或者可以起诉硬刚一下
    secretman
        21
    secretman  
       2021-02-12 14:49:30 +08:00
    @chinvo Android 也不能遮蔽,运营商做了限制,一键登录 SDK 的那个页面是不能遮蔽任何 UI 的,需要强制显示的,没有同意协议是不能点击登录的,你们说的遮蔽和自动点击,SDK 做了限制,一般手段行不通,作为 App 方是一般不会鸡贼去这样坑用户的,当然垃圾 app 当我没说,你们愿意安装垃圾 app 没办法
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1029 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 212ms · UTC 21:35 · PVG 05:35 · LAX 13:35 · JFK 16:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.