未分類
15 5 月 2020

运营商的一键登录会不会被偷偷用来跟踪用户?

运营商的一键登录会不会被偷偷用来跟踪用户?

資深大佬 : jim9606 0

现在移动和电信都有一个移动认证的服务(联通不清楚,知道的补充一下)。其原理是在使用蜂窝数据时,APP 通过向运营商的认证网关发送认证请求,认证网关根据请求来源及运营商接入系统的信息得到请求来源的手机号,并返回给 APP,从而实现免验证码登录。

这个认证理论上只需要 APP 有蜂窝数据权限就能用,除非你禁止 APP 联网。

按理说这东西用来跟踪用户比自建账户系统还精准,保证是当前活跃手机号,能获得手机号这一实质实名的个人信息、而且不像 OAID 那样可以低成本重置。

那么,有没有可能 APP 在用户不知情的情况下,利用这个认证服务在后台偷偷发请求,进而取得用户手机号来实现用户跟踪?因为在正规 APP 里,用户要做的事也就是点一个按钮而已。

运营商这边是怎么防范这个问题?它有动力去防止滥用吗?它能用什么方法去防范?

大佬有話說 (4)

  • 資深大佬 : elfive

    试试看只给 Wi-Fi 权限,不给蜂窝数据权限。
    我之前测试过,就算是在连着 Wi-Fi 的时候,这个功能还是能用的,理论上应该不能绕过 iOS 优先走 Wi-Fi 的策略,可能是通过过去 ICCID 或者其他信息,通过运营商提供的 api 来获取用户手机号的。
    双卡 iPhone 好像只能获取到主卡的手机号?这点我没有测试过。
    因为现在明着用这些接口的 App 我都卸载了。

  • 資深大佬 : systemcall

    运营商给跟踪用户的 API,用户是没有办法解决的
    家宽也有一些 API,可以用来提速,以后不好说
    运营商那边卖这个的,指望他们主动断掉自己的财路?和以前放开扣费短信差不多的类型的创收方式

  • 資深大佬 : imdong

    “和”运营商常年私下售卖获取用户手机号码的接口。

    是不是官方默许的不知道,只知道这个东西很久都没封。

    只需要加载指定的 资源,即可获取到手机号码。

    =================

    至于现在的三大运营商的一键登录,SDK 上应该是做了很多限制,

    应该是必须有用户操作才可以,但是都是客户端的,不排除被恶意破解等方式利用。

  • 資深大佬 : jim9606

    @systemcall 家宽那个好像是不开放的,只有运营商自己用,而且 APP 厂商也不太关心这个。但这个移动认证是开放给第三方的,性质就有差别了。

    @elfive 如果你是用移动认证登录过,APP 可能会在本地存一个令牌,你测试时可能直接读令牌而不用认证 API 了。虽然好像 ios 和 android 都有为定制机设计的运营商特权接口,但这个在国内不普遍吧?而且我记得联网控制是国行 ios 特有的功能。

    @imdong 我看的 SDK 文档都说要求 APP 明确提示授权,否则封 AccessKey 。但我想着能指望监督? API 供应商明明是受益者。

    我对这事的不乐观在于用户好像没有什么很好的反制手段,不过也有可能是我对这个功能的理解有些问题。