这是一个创建于 1165 天前的主题,其中的信息可能已经有所发展或是发生改变。
下载一个 app (比如夸克),如果使用流量上网,点击一键登录就会显示用户的手机号,无需用户授权就获得了手机号码,这个过程如何保障用户隐私?
这种授权不像微信的 oauth 在官方客户端操作,而是第三方 app 内,运营商能否保证操作是用户发起的?
用户对这种行为有何反制措施?我试过拨打电信 10000 投诉,对方直接下派到地市公司处理反馈,反馈人员对这种业务一无所知,表示无法验证,让用户保持关注云云,逼急了就让用户走法律程序,也不接受用户反馈网址和截屏之类的。
下面是这种所谓“用户无感”的号码认证服务的业务网站
电信 https://id.189.cn/banner/unPassword
移动 https://ecloud.10086.cn/home/product-introduction/numverify
 |
1
xmumiffy 2021-02-08 12:31:39 +08:00 via Android
你不点确认应用是拿不到手机号的
|
 |
4
zxcslove OP 实测(夸克)如果不点确认,下次打开 app 时用户昵称的地方也会直接显示加星号的号码,右边有一个一键登录。
在这个阶段,号码会被 app 经手吗? |
|
5
xmumiffy 2021-02-08 12:51:02 +08:00 via Android
不确认只能拿到带星号的号码 确认后才给全号码
|
|
6
zxcslove OP 带星号的号码已经不安全了,结合 ip 和区号有一定比例可以直接猜中。
|
 |
7
Jirajine 2021-02-08 13:34:57 +08:00  1
# 运营商手机号授权 api
||config.cmpassport.com^ ||www.cmpassport.com^ ||opencloud.wostore.cn^ ||id6.me^ ||open.e.189.cn^ 从别人那里看到的,未测试是否有效。 |
 |
8
wofave 2021-02-08 13:37:53 +08:00 via iPhone 1
/t/751694 三楼的 @processzzp 给了一个方法(本人 iOS + Quantumult X 对以下域名添加 Reject 分流规则+ 移动 4G + 夸克.app ,实测有效):
“ 三家运营商的本机号码认证业务域名 移动: *.cmpassport.com 联通: *.hmrz.wo.cn 电信: *.e.189.cn 通过你喜欢的方法,把上述域名的流量屏蔽掉就可以了。 ” |
 |
10
chinvo 2021-02-08 14:04:29 +08:00 via iPhone
我以前对过移动的 sdk,不确认之前什么都拿不到,所有展示都是 sdk 内置的 ui
不清楚其他家和现在移动有没有变化 |
 |
11
secretman 2021-02-08 14:04:52 +08:00
预登陆阶段拿不到完整手机号码
|
|
12
zxcslove OP @chinvo 请问运营商的 SDK 通过什么机制保证自己可以不被遮蔽或者机器点击?不考虑 root 和开启辅助的情况。
|
|
13
zxcslove OP @secretman 这个仍然是有风险的,很多人的号码中段是区号,通过 IP 识别区号后,和 111****2222 这样的部分拼起来就是真实手机号码了。
|
|
14
chinvo 2021-02-08 14:09:42 +08:00 via iPhone
|
 |
17
ruixue 2021-02-08 17:09:18 +08:00
对了,/t/712885 的#41 还有 V 友说
“接过网抑某服务的表示,SDK 里面直接就没有用户授权这个说法,直接就一个接口返回手机号了; APP 里面显示的是否授权,就只是给用户看的一个 UI 组件” |
|
18
chinvo 2021-02-08 18:01:17 +08:00 via iPhone
|
 |
19
march1993 2021-02-08 18:03:22 +08:00 via iPhone
那星号是 app 给打的马赛克吧
|
 |
20
likai 2021-02-09 05:52:30 +08:00 via Android
数据流量上网从 gprs 时代三大运营商就有接口直接返回手机号,只是后来做了限制。
没办法反制,或者可以起诉硬刚一下 |
Select Language