百科问答小站 logo   百科问答小站
问题

315 晚会曝光的「浏览网页就能泄露手机号」的原理是什么?

回答
好的,我们来聊聊 315 晚会上曝光的那个让人挺后怕的“浏览网页就能泄露手机号”的事情,把它讲得更明白点,就像我们平时聊天一样。

核心问题:为什么一个普普通通的网页,就能知道我手机号?

简单来说,这背后主要涉及到几个关键环节,它们一起协作,让你在不知不觉中“暴露”了自己。咱们一个一个拆开来看。

一、 流量劫持与非法接入

你有没有遇到过这样的情况:明明想去某个网站,结果被导向了另一个完全不相关的网站?或者在浏览某个不知名小网站时,突然跳出很多广告,甚至有些广告非常精准地指向你最近搜索过或者谈论过的话题?这背后很可能就有“流量劫持”在作祟。

什么是流量劫持? 想象一下,你的网络数据就像一条条小溪流,流向你真正想去的网站。流量劫持就是有人在这个过程中,把你的小溪流“截胡”了,改道流向了他们自己的地方。
怎么做到的?
DNS劫持: 这是最常见的一种。你的电脑或手机在访问一个网址(比如 `www.abc.com`)时,需要通过一个叫做 DNS(域名解析系统)的服务来查找这个网址对应的 IP 地址(就好比查电话号码簿)。如果有人控制了你的 DNS 服务(比如你家路由器被黑了,或者你用的公共 WiFi 有问题),他们就可以在你输入 `www.abc.com` 时,给你一个假的 IP 地址,把你导向一个他们控制的网站。
运营商级别的劫持: 更有厉害的,可以直接和电信运营商合作,或者通过其他技术手段,在你的数据传输过程中进行拦截和篡改,把你导向他们的服务器。
结果: 你以为自己在浏览 A 网站,但实际上你已经来到了被攻击者控制的 B 网站,只是表面上看起来和 A 网站很像,或者是在 B 网站上内嵌了 A 网站的一部分内容,让你难以察觉。

二、 诱导用户输入或授权

当你被劫持到那些“黑心”网站后,他们不会直接拿到你的手机号,那也太明显了。他们更狡猾,会想办法让你“自愿”提供。

“福利”诱惑: 很多时候,这些劫持的网站会伪装成各种吸引人的页面,比如:“恭喜你获得 XX 大礼包!”、“免费领取 XX 商品!”、“参与抽奖,赢取 XXX!”等等。这些活动通常都需要你填写一些信息才能领取奖品,其中就包括手机号。
假冒官方: 他们还会模仿银行、电商平台、社交媒体的界面,让你误以为是在官方网站操作,放松警惕。
“扫码登录”的陷阱: 有的会让你扫一个二维码来登录,这个二维码背后可能是一个请求授权的页面,如果你不仔细看,授权了读取你的手机号,那信息就泄露了。

三、 利用用户手机号的“联动性”

现在很多应用和服务都是手机号注册的,你的手机号几乎成了你在数字世界的“身份证”。这为不法分子提供了便利。

找回密码: 很多网站都有“手机号找回密码”的功能。一旦他们获得了你的手机号,他们就可以尝试用这个手机号去注册其他服务,或者在你常用的服务上尝试找回密码,从而进一步盗取你的账户信息。
短信轰炸与骚扰: 除了卖给其他骚扰电话、广告推销公司,他们还可以利用你的手机号进行短信轰炸,或者进行精准的诈骗。

四、 “数据包”中的秘密——SDK 和广告插件

即使你没主动填写手机号,有些网站或应用也可能在你不经意间获取你的信息。这就要说到 SDK(Software Development Kit,软件开发工具包) 和各种 广告插件 了。

什么是 SDK? 很多网站为了方便开发,或者为了集成第三方服务(比如支付、统计分析、广告投放等),会引入一些别人写好的代码库,这就是 SDK。就像你在盖房子时,会用别人生产的砖头、水泥一样。
问题出在哪?
恶意 SDK: 一些不怀好意的开发者,会将包含“挖矿”、“收集信息”等恶意代码的 SDK 混入其中,然后把这个 SDK 发布出去,让很多网站或应用去引用。当应用或网站使用了这个恶意 SDK 时,你的手机号或其他敏感信息就可能被偷偷发送到攻击者的服务器上。
广告插件的“权限”: 你在浏览网页时,看到的那些广告,很多是由广告联盟提供的。这些广告联盟为了更精准地投放广告,会想办法收集你的信息。如果某个广告插件被植入了恶意代码,或者它本身设计就有问题,就可能在你浏览网页时,通过一些技术手段读取你手机中可能包含的、与你手机号相关的“线索”进行匹配。
更隐蔽的方式: 比如,你可能在某个应用里登录过,这个应用可能授权了某些第三方服务访问你的手机号。当这个应用又被集成了一个恶意的 SDK,就可能导致你手机号泄露。

打个比方来总结一下这个流程:

想象你本来是要去一家叫做“书店”的地方。

1. 流量劫持 就像是你的导航系统坏了,或者有人把路牌换了,把你指引到了一个叫“伪装书店”的地方。这个“伪装书店”的外观和你想要去的“书店”非常相似。
2. 你进入“伪装书店”后,门口的“热情店员”(不法分子)会告诉你:“现在有活动,免费送一本精美笔记本!但是需要你登记一下收货手机号。” 你以为只是登记一下,就能拿到礼品。
3. 你填完手机号后,他们就把你的手机号记录下来了。他们收集手机号的目的,是为了卖给那些推销电话公司,或者用来冒充你的身份去其他地方“借钱”。
4. 更糟糕的是,这个“伪装书店”里面可能还藏着一些看不见的“小虫子”(恶意 SDK),这些虫子会在你不知道的时候,偷偷把你笔记本里的其他重要信息(比如联系人、短信记录等)也复制走,然后发送给别人。

为什么浏览网页就能泄露?

这里强调“浏览网页”是因为:

即时性: 相对于安装一个应用,你可能觉得浏览网页更“干净”一些,不会“安装”什么东西。但流量劫持和广告插件的存在,让浏览网页这个行为本身也变得有风险。
普遍性: 我们每天都要浏览大量的网页,接触各种信息。这种泄露方式的隐蔽性和广泛性,导致很多人防不胜防。

总而言之,这种现象的出现,是 流量劫持、虚假信息诱导、以及恶意代码(如恶意 SDK)的混合运用 的结果。不法分子通过技术手段将你导向陷阱,然后利用你的贪小便宜心理,或者利用一些技术上的漏洞,最终获取到你的手机号。而且,一旦手机号被获取,它就像一个万能钥匙,可以被用于更多目的。

所以,以后遇到不明来历的链接、弹窗广告,或者要求填写手机号的活动,一定要多加小心,别被所谓的“福利”冲昏了头脑。

网友意见

user avatar

最初,许多运营商业务相关页面,如网上营业厅,是会用到账号信息的。但它们的 JSONP 接口存在漏洞,没有限制来源,任何网页直接加载就能得到手机号。

逐渐修复后,一些不正规的接口仍然存在问题。例如,广东移动劫持百度首页,插入岭南XX横幅广告:加载 JS 后,会在网页写入一个 a 标签,链接地址包含手机号。

或者,如其它答主所说,这干脆就是一项服务,而不是漏洞。

现在,全网通用的「一键登录」更是助长了这一行为。忽略刚上线时的问题,就目前而言,任何企业开发者均可以申请使用,获得用户授权后即可得到完整手机号码。

所谓「获得用户授权」,指的是用户在完全由开发者控制的界面上点击一个按钮,至于按钮形式,甚至是否需要真实点击,都全靠一纸标准,或者也许有用的资质审核所约束。

例子:讯飞「咪咕灵犀」去年未下架时,在未经授权的情况下,自动以中国电信手机号登录。(实际上只是个 Bug,但足以体现授权的不可靠)

设计之初,就不认为用户的隐私需要保护。
user avatar

说实在的这个原理超出了我一个前端开发的认知。跟浏览器打交道最多的我从没想过一个沙箱一样的存在,能够获取到手机底层的读卡信息。这就是离谱他妈给离谱开门,离谱到家了。


刚刚我突然想起来代码层面不可能实现,我是不是可以换条思路?如果我使用了手机流量上网,我会不会像附近的基站发送我手机的一些信息,比如说我的手机号码啊,sn码或者是MAC地址之类的?假设我的通信运营商把我这些信息存在各自的小基站中,打包封装成对公api,再把这个API的使用权限卖给一些私人公司,那么这些公司是不是就可以滥用我的这些信息?随时知道我的手机地址上网情况,以及拨打我的手机号码?互联网下人人都没穿衣服,这个我是早已经知道的,但是对于自己不仅要赤裸被别人看,而且还被明码标价随时被人强奸,这种情况,我还能怎么办呢?只有应了那句话,生活就像强奸,假如你反抗不了,那就去享受。

类似的话题

本站所有内容均为互联网搜索引擎提供的公开搜索信息,本站不存储任何数据与内容,任何内容与数据均与本站无关,如有需要请联系相关搜索引擎包括但不限于百度google,bing,sogou

© 2025 tinynews.org All Rights Reserved. 百科问答小站 版权所有

服务条款
联系我们
关于我们
隐私政策
友情链接
知乎
百度问答
搜狐
新浪