现在移动和电信都有一个移动认证的服务(联通不清楚,知道的补充一下)。其原理是在使用蜂窝数据时,APP 通过向运营商的认证网关发送认证请求,认证网关根据请求来源及运营商接入系统的信息得到请求来源的手机号,并返回给 APP,从而实现免验证码登录。
这个认证理论上只需要 APP 有蜂窝数据权限就能用,除非你禁止 APP 联网。
按理说这东西用来跟踪用户比自建账户系统还精准,保证是当前活跃手机号,能获得手机号这一实质实名的个人信息、而且不像 OAID 那样可以低成本重置。
那么,有没有可能 APP 在用户不知情的情况下,利用这个认证服务在后台偷偷发请求,进而取得用户手机号来实现用户跟踪?因为在正规 APP 里,用户要做的事也就是点一个按钮而已。
运营商这边是怎么防范这个问题?它有动力去防止滥用吗?它能用什么方法去防范?
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.