百科问答小站 logo
百科问答小站 font logo



315 晚会曝光的「浏览网页就能泄露手机号」的原理是什么? 第1页

  

user avatar   dazhang-46 网友的相关建议: 
      

最初,许多运营商业务相关页面,如网上营业厅,是会用到账号信息的。但它们的 JSONP 接口存在漏洞,没有限制来源,任何网页直接加载就能得到手机号。

逐渐修复后,一些不正规的接口仍然存在问题。例如,广东移动劫持百度首页,插入岭南XX横幅广告:加载 JS 后,会在网页写入一个 a 标签,链接地址包含手机号。

或者,如其它答主所说,这干脆就是一项服务,而不是漏洞。

现在,全网通用的「一键登录」更是助长了这一行为。忽略刚上线时的问题,就目前而言,任何企业开发者均可以申请使用,获得用户授权后即可得到完整手机号码。

所谓「获得用户授权」,指的是用户在完全由开发者控制的界面上点击一个按钮,至于按钮形式,甚至是否需要真实点击,都全靠一纸标准,或者也许有用的资质审核所约束。

例子:讯飞「咪咕灵犀」去年未下架时,在未经授权的情况下,自动以中国电信手机号登录。(实际上只是个 Bug,但足以体现授权的不可靠)

设计之初,就不认为用户的隐私需要保护。


user avatar   dai-yue-65-46 网友的相关建议: 
      

说实在的这个原理超出了我一个前端开发的认知。跟浏览器打交道最多的我从没想过一个沙箱一样的存在,能够获取到手机底层的读卡信息。这就是离谱他妈给离谱开门,离谱到家了。


刚刚我突然想起来代码层面不可能实现,我是不是可以换条思路?如果我使用了手机流量上网,我会不会像附近的基站发送我手机的一些信息,比如说我的手机号码啊,sn码或者是MAC地址之类的?假设我的通信运营商把我这些信息存在各自的小基站中,打包封装成对公api,再把这个API的使用权限卖给一些私人公司,那么这些公司是不是就可以滥用我的这些信息?随时知道我的手机地址上网情况,以及拨打我的手机号码?互联网下人人都没穿衣服,这个我是早已经知道的,但是对于自己不仅要赤裸被别人看,而且还被明码标价随时被人强奸,这种情况,我还能怎么办呢?只有应了那句话,生活就像强奸,假如你反抗不了,那就去享受。


user avatar   xioxin 网友的相关建议: 
      

我身为一个潜伏中文互联网20年的1450;

一个拿拜登钱粉川普的50W;

一个知乎第一批喷逆向民族主义的跪族;

一个定期嘲讽白人傲慢的公知;

一个坚信马克思的4v;

一个认为入关势在必行的精美;

一个常常因为支持先对外而不是先分配而被开除左籍的反贼。

对这个问题,我头上扣的帽子和被不知道放在哪个凳子上的屁股是不允许我作出回答的。

但是……我算知道大清洗是怎么发现组织内五分之四都是叛徒奸细的了




  

相关话题

  如何看待微软对「永恒之蓝」事件的处理? 
  在有关部门的要求下,知乎官方会依法取匿吗? 
  为什么那么多人推荐火绒? 
  如何看待0.5元可买到身份匹配的人脸数据?如何才能避免信息泄露? 
  深度学习在信息安全的应用有哪些可以关注的人或论文? 
  黑客能黑超算吗? 
  网络软色情防不胜防,怎么做才能更好地保护青少年? 
  自动驾驶车如何降低被黑客控制的风险? 
  阿里云被证实将用户信息泄露给第三方,阿里云是否需要承担法律责任?为何用户隐私频频遭泄露? 
  普京签署总统令「禁止国家重要基础设施部门使用外国软件」,如何评价这一做法? 

前一个讨论
怎么理解西方的普世价值?
下一个讨论
编程语言中类型前置和类型后置的优缺点各是什么?





© 2024-12-18 - tinynew.org. All Rights Reserved.
© 2024-12-18 - tinynew.org. 保留所有权利