最初,许多运营商业务相关页面,如网上营业厅,是会用到账号信息的。但它们的 JSONP 接口存在漏洞,没有限制来源,任何网页直接加载就能得到手机号。
逐渐修复后,一些不正规的接口仍然存在问题。例如,广东移动劫持百度首页,插入岭南XX横幅广告:加载 JS 后,会在网页写入一个 a 标签,链接地址包含手机号。
或者,如其它答主所说,这干脆就是一项服务,而不是漏洞。
现在,全网通用的「一键登录」更是助长了这一行为。忽略刚上线时的问题,就目前而言,任何企业开发者均可以申请使用,获得用户授权后即可得到完整手机号码。
所谓「获得用户授权」,指的是用户在完全由开发者控制的界面上点击一个按钮,至于按钮形式,甚至是否需要真实点击,都全靠一纸标准,或者也许有用的资质审核所约束。
例子:讯飞「咪咕灵犀」去年未下架时,在未经授权的情况下,自动以中国电信手机号登录。(实际上只是个 Bug,但足以体现授权的不可靠)
设计之初,就不认为用户的隐私需要保护。
说实在的这个原理超出了我一个前端开发的认知。跟浏览器打交道最多的我从没想过一个沙箱一样的存在,能够获取到手机底层的读卡信息。这就是离谱他妈给离谱开门,离谱到家了。
刚刚我突然想起来代码层面不可能实现,我是不是可以换条思路?如果我使用了手机流量上网,我会不会像附近的基站发送我手机的一些信息,比如说我的手机号码啊,sn码或者是MAC地址之类的?假设我的通信运营商把我这些信息存在各自的小基站中,打包封装成对公api,再把这个API的使用权限卖给一些私人公司,那么这些公司是不是就可以滥用我的这些信息?随时知道我的手机地址上网情况,以及拨打我的手机号码?互联网下人人都没穿衣服,这个我是早已经知道的,但是对于自己不仅要赤裸被别人看,而且还被明码标价随时被人强奸,这种情况,我还能怎么办呢?只有应了那句话,生活就像强奸,假如你反抗不了,那就去享受。
我身为一个潜伏中文互联网20年的1450;
一个拿拜登钱粉川普的50W;
一个知乎第一批喷逆向民族主义的跪族;
一个定期嘲讽白人傲慢的公知;
一个坚信马克思的4v;
一个认为入关势在必行的精美;
一个常常因为支持先对外而不是先分配而被开除左籍的反贼。
对这个问题,我头上扣的帽子和被不知道放在哪个凳子上的屁股是不允许我作出回答的。
但是……我算知道大清洗是怎么发现组织内五分之四都是叛徒奸细的了