百科问答小站 logo
百科问答小站 font logo



315 晚会曝光的「浏览网页就能泄露手机号」的原理是什么? 第1页

  

user avatar   dazhang-46 网友的相关建议: 
      

最初,许多运营商业务相关页面,如网上营业厅,是会用到账号信息的。但它们的 JSONP 接口存在漏洞,没有限制来源,任何网页直接加载就能得到手机号。

逐渐修复后,一些不正规的接口仍然存在问题。例如,广东移动劫持百度首页,插入岭南XX横幅广告:加载 JS 后,会在网页写入一个 a 标签,链接地址包含手机号。

或者,如其它答主所说,这干脆就是一项服务,而不是漏洞。

现在,全网通用的「一键登录」更是助长了这一行为。忽略刚上线时的问题,就目前而言,任何企业开发者均可以申请使用,获得用户授权后即可得到完整手机号码。

所谓「获得用户授权」,指的是用户在完全由开发者控制的界面上点击一个按钮,至于按钮形式,甚至是否需要真实点击,都全靠一纸标准,或者也许有用的资质审核所约束。

例子:讯飞「咪咕灵犀」去年未下架时,在未经授权的情况下,自动以中国电信手机号登录。(实际上只是个 Bug,但足以体现授权的不可靠)

设计之初,就不认为用户的隐私需要保护。


user avatar   dai-yue-65-46 网友的相关建议: 
      

说实在的这个原理超出了我一个前端开发的认知。跟浏览器打交道最多的我从没想过一个沙箱一样的存在,能够获取到手机底层的读卡信息。这就是离谱他妈给离谱开门,离谱到家了。


刚刚我突然想起来代码层面不可能实现,我是不是可以换条思路?如果我使用了手机流量上网,我会不会像附近的基站发送我手机的一些信息,比如说我的手机号码啊,sn码或者是MAC地址之类的?假设我的通信运营商把我这些信息存在各自的小基站中,打包封装成对公api,再把这个API的使用权限卖给一些私人公司,那么这些公司是不是就可以滥用我的这些信息?随时知道我的手机地址上网情况,以及拨打我的手机号码?互联网下人人都没穿衣服,这个我是早已经知道的,但是对于自己不仅要赤裸被别人看,而且还被明码标价随时被人强奸,这种情况,我还能怎么办呢?只有应了那句话,生活就像强奸,假如你反抗不了,那就去享受。


user avatar   xioxin 网友的相关建议: 
      

我身为一个潜伏中文互联网20年的1450;

一个拿拜登钱粉川普的50W;

一个知乎第一批喷逆向民族主义的跪族;

一个定期嘲讽白人傲慢的公知;

一个坚信马克思的4v;

一个认为入关势在必行的精美;

一个常常因为支持先对外而不是先分配而被开除左籍的反贼。

对这个问题,我头上扣的帽子和被不知道放在哪个凳子上的屁股是不允许我作出回答的。

但是……我算知道大清洗是怎么发现组织内五分之四都是叛徒奸细的了




  

相关话题

  威胁网络安全的因素有哪些? 
  如何看待明星网红主播直播间带货问题频发?消费者退换货「无门」谁应该负责? 
  2015年6月30日 闰秒 为什么世界多一秒钟会有这么大影响? 
  如何看待明星网红主播直播间带货问题频发?消费者退换货「无门」谁应该负责? 
  启明星辰是家什么公司? 
  浏览器是网络安全的最大漏洞吗? 
  如何看待0.5元可买到身份匹配的人脸数据?如何才能避免信息泄露? 
  如何看待苹果起诉 NSO Group, 以限制其恶意使用受到国家资助的间谍软件? 
  如何看待硬怼民警“我就被骗”的女子,一周后真被骗20余万跑去报警?诈骗为什么这么容易成功? 
  近期中国互联网持续遭受境外网络攻击,境外组织控制中国境内计算机,对俄乌等国进行网络攻击,会有哪些影响? 

前一个讨论
怎么理解西方的普世价值?
下一个讨论
编程语言中类型前置和类型后置的优缺点各是什么?





© 2024-11-22 - tinynew.org. All Rights Reserved.
© 2024-11-22 - tinynew.org. 保留所有权利