移动电信联通三家的免密登录是否有泄露用户号码的风险？如何反制？

2021-02-08 12:27:46 +08:00

zxcslove

下载一个 app （比如夸克），如果使用流量上网，点击一键登录就会显示用户的手机号，无需用户授权就获得了手机号码，这个过程如何保障用户隐私？

这种授权不像微信的 oauth 在官方客户端操作，而是第三方 app 内，运营商能否保证操作是用户发起的？

用户对这种行为有何反制措施？我试过拨打电信 10000 投诉，对方直接下派到地市公司处理反馈，反馈人员对这种业务一无所知，表示无法验证，让用户保持关注云云，逼急了就让用户走法律程序，也不接受用户反馈网址和截屏之类的。

下面是这种所谓“用户无感”的号码认证服务的业务网站

电信 https://id.189.cn/banner/unPassword

移动 https://ecloud.10086.cn/home/product-introduction/numverify

联通 http://saas.wostore.cn/solution.html?param=1&num=3

4325 次点击

所在节点

互联网

21 条回复

xmumiffy

2021-02-08 12:31:39 +08:00

你不点确认应用是拿不到手机号的

zxcslove

2021-02-08 12:38:02 +08:00

@xmumiffy 那么在点确认之前，界面上显示的号码是掌握在运营商 SDK 那里还是在 app 这边呢？

cheng6563

2021-02-08 12:40:14 +08:00

@zxcslove 显示的也是打码了

zxcslove

2021-02-08 12:42:27 +08:00

实测（夸克）如果不点确认，下次打开 app 时用户昵称的地方也会直接显示加星号的号码，右边有一个一键登录。
在这个阶段，号码会被 app 经手吗？

xmumiffy

2021-02-08 12:51:02 +08:00

不确认只能拿到带星号的号码确认后才给全号码

zxcslove

2021-02-08 13:24:23 +08:00

带星号的号码已经不安全了，结合 ip 和区号有一定比例可以直接猜中。

Jirajine

2021-02-08 13:34:57 +08:00

# 运营商手机号授权 api
||config.cmpassport.com^
||www.cmpassport.com^
||opencloud.wostore.cn^
||id6.me^
||open.e.189.cn^

从别人那里看到的，未测试是否有效。

wofave

2021-02-08 13:37:53 +08:00

/t/751694 三楼的 @processzzp 给了一个方法（本人 iOS + Quantumult X 对以下域名添加 Reject 分流规则+ 移动 4G + 夸克.app ，实测有效）：

“
三家运营商的本机号码认证业务域名

移动： *.cmpassport.com
联通： *.hmrz.wo.cn
电信： *.e.189.cn

通过你喜欢的方法，把上述域名的流量屏蔽掉就可以了。
”

zxcslove

2021-02-08 13:53:26 +08:00

@Jirajine
@wofave
感谢

chinvo

2021-02-08 14:04:29 +08:00

我以前对过移动的 sdk，不确认之前什么都拿不到，所有展示都是 sdk 内置的 ui

不清楚其他家和现在移动有没有变化

secretman

2021-02-08 14:04:52 +08:00

预登陆阶段拿不到完整手机号码

zxcslove

2021-02-08 14:07:43 +08:00

@chinvo 请问运营商的 SDK 通过什么机制保证自己可以不被遮蔽或者机器点击？不考虑 root 和开启辅助的情况。

zxcslove

2021-02-08 14:09:00 +08:00

@secretman 这个仍然是有风险的，很多人的号码中段是区号，通过 IP 识别区号后，和 111****2222 这样的部分拼起来就是真实手机号码了。

chinvo

2021-02-08 14:09:42 +08:00

@zxcslove #11 所以我用 iOS，不需要考虑遮蔽或者程序点击。

Android 上，没记错的话，新版对于浮动层，是有权限限制的。自动化没具体了解过。

secretman

2021-02-08 16:51:29 +08:00

@chinvo ios 一样的，我就是 Android 开发，我司 App，Android 、ios 都有一键登录

ruixue

2021-02-08 17:03:54 +08:00

/t/712885
见#17 #35

ruixue

2021-02-08 17:09:18 +08:00

对了，/t/712885 的#41 还有 V 友说
“接过网抑某服务的表示,SDK 里面直接就没有用户授权这个说法,直接就一个接口返回手机号了;
APP 里面显示的是否授权,就只是给用户看的一个 UI 组件”

chinvo

2021-02-08 18:01:17 +08:00

@secretman #14 我说的是 iOS 用户不用担心遮蔽+自动化点击的方式绕过用户确认这一步

没说 iOS 没有一键登录

march1993

2021-02-08 18:03:22 +08:00

那星号是 app 给打的马赛克吧

likai

2021-02-09 05:52:30 +08:00

数据流量上网从 gprs 时代三大运营商就有接口直接返回手机号，只是后来做了限制。
没办法反制，或者可以起诉硬刚一下

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/752311

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.