V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
emmmlucky
V2EX  ›  程序员

苏宁易购 app 这么厉害的吗

  •  
  •   emmmlucky · 2020-09-13 15:59:10 +08:00 · 8158 次点击
    这是一个创建于 1292 天前的主题,其中的信息可能已经有所发展或是发生改变。

    已经用了 xprivacyLua 禁止读取手机标识符和 MIUI12 的空白通行证,但是好像都不起作用,苏宁易购还是能读取到本机手机号码,是怎么做到的,好像有点厉害。

    其他权限像是摄像头这种禁用了就获取不到权限了。

    IMG_20200913_154923.jpg Screenshot_2020-09-13-15-49-35-498_com.miui.secur.jpg Screenshot_2020-09-13-15-50-02-855_eu.faircode.xl.jpg

    50 条回复    2020-09-15 20:47:35 +08:00
    MinQ
        1
    MinQ  
       2020-09-13 16:02:10 +08:00 via Android   ❤️ 1
    用的运营商的 SDK 啦
    Jooooooooo
        2
    Jooooooooo  
       2020-09-13 16:02:44 +08:00
    你再看看底下的小字

    这个是联通直接提供的
    syuraking
        3
    syuraking  
       2020-09-13 16:14:34 +08:00   ❤️ 1
    联通统一认证……运营商的接口……
    marczhao
        4
    marczhao  
       2020-09-13 16:18:32 +08:00   ❤️ 1
    #1 #2 都正解
    运营商给的 SDK,移动电信我记得也有,开了 数据流量 或 流量 WIFI 一起开 就能拿到你的手机号码。
    但是按理来讲手机号码不是全的,只要你不点一键登录,中间四位是会被挖掉的。点了的话应用就拿到全部了。
    Dvel
        5
    Dvel  
       2020-09-13 16:22:07 +08:00
    抖音也能,也写着是是联通提供的
    emmmlucky
        6
    emmmlucky  
    OP
       2020-09-13 16:22:24 +08:00
    @marczhao 那这玩意有办法屏蔽吗
    HongJay
        7
    HongJay  
       2020-09-13 16:22:53 +08:00
    运营商 sdk,不同意拿不到手机号
    HongJay
        8
    HongJay  
       2020-09-13 16:23:38 +08:00
    @emmmlucky #6 不插 sim 卡。或者该 sim 卡禁止联网
    MinQ
        9
    MinQ  
       2020-09-13 16:23:50 +08:00 via Android
    @emmmlucky 只要不用手机号登录就行
    zsdroid
        10
    zsdroid  
       2020-09-13 16:24:58 +08:00
    你对本机一键登录有什么误解吗?没有运营商的支持,就是拿到手机号也没法一键登录啊。
    iptables
        11
    iptables  
       2020-09-13 16:27:52 +08:00
    用的是运营商的接口的话,假如我没有点击本机号一键登录,平台是不是就还没有获取到我的号码?
    TypeError
        12
    TypeError  
       2020-09-13 16:28:40 +08:00 via Android   ❤️ 1
    运营商内鬼,
    用 WiFi 就获取不到了
    MinQ
        13
    MinQ  
       2020-09-13 16:36:33 +08:00 via Android
    @iptables 不登录只能拿到中间缺数字的结果
    SingeeKing
        14
    SingeeKing  
       2020-09-13 16:41:01 +08:00   ❤️ 2
    我一直好奇这种如果 app 开发者想的话可不可以「模拟用户点击了这个按钮」的行为
    THP301
        15
    THP301  
       2020-09-13 16:58:34 +08:00
    空白通行证
    kerro1990
        16
    kerro1990  
       2020-09-13 17:18:08 +08:00
    按道理不一定要同意,你用运营商的网,肯定可以查到你的手机号
    shijingshijing
        17
    shijingshijing  
       2020-09-13 17:20:41 +08:00
    淘宝也是这样了,删除了重新安装,4G 网络下登录,就是这个样子:

    shijingshijing
        18
    shijingshijing  
       2020-09-13 17:22:19 +08:00
    网络中立什么的在国内是不存在的,那怕啥都不给,只要是用了运营商网络,你的流量就会标记,不然怎么做 QoS,所以理论上你的信息是都能知道的。
    MinQ
        19
    MinQ  
       2020-09-13 17:37:21 +08:00 via Android
    @shijingshijing 我还真不知道有哪家运营商不知道用户信息的
    zhiyzellda
        20
    zhiyzellda  
       2020-09-13 18:04:27 +08:00 via Android   ❤️ 1
    @shijingshijing
    被标记的前提是别人知道你的数据包里面是什么。
    你要做的是用自己的密码加密数据包。加密后的数据包流过运营商面前的时候,运营商根本不知道里面是什么,自然无法标记,只能统称为“其他数据”。
    而不是要求运营商不记录用户信息。
    4G 网络下,用个 socks5 (无所谓 ip 位置),运营商就认不出来手机号了。因为加密了,其他加密协议也一样。
    你用错“网络中立”的方法了。
    shijingshijing
        21
    shijingshijing  
       2020-09-13 18:23:01 +08:00
    @zhiyzellda 我的意思是,按照用户套餐登记对流量做 QoS 基本上就不用谈什么网络中立了吧。何况还有抖音卡,腾讯大王卡这种摆在明面上的玩意儿。
    shijingshijing
        22
    shijingshijing  
       2020-09-13 18:23:25 +08:00
    #21 登记->等级
    shijingshijing
        23
    shijingshijing  
       2020-09-13 18:25:05 +08:00
    @zhiyzellda 运营商不需要知道 payload 的内容,只需要知道是你发的就行了。
    snw
        24
    snw  
       2020-09-13 18:27:29 +08:00 via Android   ❤️ 2
    这就是我为什么总是全局代理上网。
    这种在数据里塞入用户识别信息的行为和以前劫持流量插广告的原理基本类似。

    就算是 WiFi 上网,宽带运营商也能加塞户主的识别信息,只不过户主和用户大概率不是同一人,所以很少使用。实际上真有使用的,然后就变成安全漏洞。
    shijingshijing
        25
    shijingshijing  
       2020-09-13 19:38:57 +08:00   ❤️ 1
    @MinQ
    请分清以下几点:
    1,运营商在为你开通业务时需要你提供个人信息进行登记办理。
    2,运营商将你的流量进行标记,进行 QoS 。
    3,运营商根据你访问特定 App 的流量标记(可能只是一个 Token ),反向推出你的个人信息,并将这些个人信息提供给该 App 用于注册该 App 。

    上面三点是不能混为一谈的,第一点是为了合规可以理解,第二点是为了尽可能榨取价值,利润最大化(且不谈合理不合理,合法不合法),第三点就是那啥,不评论了。
    jim9606
        26
    jim9606  
       2020-09-13 20:42:42 +08:00   ❤️ 4
    我在以前提过这个问题 ( https://v2ex.com/t/671734)

    要是这玩意能得到手机号,那就是大杀器级别的精确用户跟踪方法,还带活人检测的那种。而且按我用手机营业厅的效果来看就是点了个按钮,什么短信弹窗统统不存在的,也就是说 @SingeeKing 提出的问题有可能存在。

    @MinQ 有没有开发文档明确中间缺数字这一点和我上面说的问题?它不会是在客户端 SDK 里做的隐藏吧?我实在不怎么信任运营商的 IT 系统设计。

    这玩意烦就烦在除非你完全断掉移动网络或者动用防火墙,否则你压根没反抗。

    @shijingshijing 这里不是说网络中立的问题,我想强调的是运营商的认证服务存在被第三方恶意利用(未经用户同意用于跟踪用户)的可能。
    MinQ
        27
    MinQ  
       2020-09-13 21:10:59 +08:00
    shijingshijing
        28
    shijingshijing  
       2020-09-13 21:15:58 +08:00   ❤️ 1
    @jim9606 本来就是存在的,运营商自己不会摆在明面上做这种脏活儿的,下面有很多电信业务代理充当了白手套,类似业务还有“空号检测”,“动态 IP 代理池”等灰色地带的玩意儿。不仅有接口,只要你花钱,还能提供各种反馈的统计数据。
    kangsheng9527
        29
    kangsheng9527  
       2020-09-13 21:53:09 +08:00
    各大通讯运营是有 api 接口暴露使用那个手机号码 4G 网络上网的,以前看过貌似是电信有类似接口,是开放的。
    flowercoder
        30
    flowercoder  
       2020-09-13 22:16:27 +08:00
    中国电信也有这种开发接口,不是谁厉害不厉害,就是一个 api 的事情。https://id.189.cn/
    icebearloveu
        31
    icebearloveu  
       2020-09-13 22:43:04 +08:00 via Android
    关流量就好了
    xiaobai557
        32
    xiaobai557  
       2020-09-14 00:42:58 +08:00
    运营商提供的
    jiangzm
        33
    jiangzm  
       2020-09-14 01:10:21 +08:00
    @emmmlucky 这边建议你不要用运营商的号码呢,不插卡也就不打电话不发短信,只用 Wi-Fi 好吗
    jiangzm
        34
    jiangzm  
       2020-09-14 01:29:26 +08:00
    @shijingshijing @jim9606 @emmmlucky
    我就感觉很多人在杞人忧天,App 登录本身就要求你输入手机号 /其他 Id,所以手机号已经注册了或者将用来注册啊!
    而且默认状态 App 拿不到完整的手机号,只有你主动授权登录才能拿到正确的手机号然后作为登录标识,你担心的话不用这个简化的步骤就好了,担心个屁啊。
    又不是 App 以前不用手机号,现在通过运营商 SDK 能拿到这个额外的手机号,
    还有运营商肯定知道你的数据流量是通过你的手机号码,这有啥好质疑的,除非你们不用运营商的手机号
    philipjf
        35
    philipjf  
       2020-09-14 05:44:26 +08:00
    顺便最新的安卓 11 也在装模作样限制了获取本机信息的同时光明正大保留了运营商的后门
    oumiga233
        36
    oumiga233  
       2020-09-14 07:57:23 +08:00 via Android
    我觉得最坑的是实名认证默认绑定苏宁金融,注销账号以后用手机号登录,苏宁金融里面的实名信息还在
    xingyuc
        37
    xingyuc  
       2020-09-14 08:36:19 +08:00
    认证服务由联通统一认证提供
    xingyuc
        38
    xingyuc  
       2020-09-14 08:40:51 +08:00   ❤️ 1
    @jiangzm 你知道啥,我可以用 gv 号注册
    ddefewfewf
        39
    ddefewfewf  
       2020-09-14 09:12:53 +08:00 via iPhone   ❤️ 1
    Citrus
        40
    Citrus  
       2020-09-14 09:39:33 +08:00 via iPhone   ❤️ 1
    @marczhao
    1. 码都是应用自己打的
    @SingeeKing
    @iptables
    2. 你细品下 1
    emeab
        41
    emeab  
       2020-09-14 11:32:03 +08:00
    不爽这样
    DOMAIN-KEYWORD,open.e.189.cn,拦截
    nicevar
        42
    nicevar  
       2020-09-14 11:38:49 +08:00
    楼主没搞清楚这号码是通过 sim 卡获取的,你打开 iPhone 去看一下也是一样的
    tabris17
        43
    tabris17  
       2020-09-14 11:39:31 +08:00
    你别插 SIM 卡就读不到了
    ailaodao
        44
    ailaodao  
       2020-09-14 11:43:42 +08:00
    苏宁易购无法注销账户,验证码验证之后,点确定注销没用,垃圾苏宁
    a1562619919
        45
    a1562619919  
       2020-09-14 11:45:56 +08:00 via Android
    你的隐私泄露给联通了🐶
    AliceLee2008
        46
    AliceLee2008  
       2020-09-14 13:52:55 +08:00 via iPhone
    这是运营商的面密登陆服务,关闭移动网络就取不到了。
    jim9606
        47
    jim9606  
       2020-09-14 15:51:54 +08:00   ❤️ 1
    @jiangzm 我这里说的是 APP 可能可以欺骗认证 SDK,使其误以为用户同意使用认证,这样可以搞到完整手机号而用户完全蒙在鼓里。实际有没有 APP 这么搞我不清楚,我只是说存在这种可能性。开发文档说运营商会审查 APP 有没有按要求展示授权页,但是我也不知道这种监管靠不靠得住。
    我并没有质疑运营商有能力知晓用户用了什么 APP 的能力,也没有质疑运营商提供这种认证方式的可行性。


    @philipjf 运营商权限只对运营商签名的应用开放,所以这就跟读取不可重置标识符需要特许权限是相同等级了。至少对于一般 APP 是没法直接使用这两个功能的。这本质就是 Google 和运营商、硬件厂商联合收保护费的改动,反正 GMS 的服务程序有特权。
    iptables
        48
    iptables  
       2020-09-15 13:17:33 +08:00
    @Citrus #40 你是抓包分析过,发现返回的原始数据中号码是完整的吗?
    Citrus
        49
    Citrus  
       2020-09-15 13:37:51 +08:00 via iPhone
    @iptables 不是。
    dai640
        50
    dai640  
       2020-09-15 20:47:35 +08:00
    三大运营商都支持这种令人反感的 SDK 。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1450 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 23:49 · PVG 07:49 · LAX 16:49 · JFK 19:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.