一键手机号登录是如何实现的?是否会存在隐私安全问题?可以通过热点获取手机号?

相关阅读

杂谈

之前的文章中,我们只是引用了发明专利中提及的运营商获取手机号的方法,本篇来自于热心网友的分享,我们将着重讲解其中的原理以及实际效果,同时也会纰漏其中的隐私安全问题。

0x01 前言

2022年315打假提到一些网站,未经用户同意,通过网页获取到用户的手机号,并进一步电话推销,导致用户接到各种骚扰电话。期间也有不少安全公众号去揭露这种技巧,核心是使用运营商的付费接口,即可通过移动流量网关获取到用户的手机号。也就是说我们可以通过xss构造链接,拿到别人的手机号。在测试的过程中,我发现这种登录方式并没有验证设备,也就是说如果你开了热点给别人用,可以直接通过这种方式接管你的账号。

0x02 正文

为了验证这种手机取号技巧,搜索了一些付费接口,其中主要有运营商提供的付费接口,也有第三方运营商数据公司提供的接口,比如友盟。大部分以app sdk的形式集成调用方式和接口,我想直接在H5上测试,于是我使用了移动运营商的付费接口,支持H5调用,接口文档是:http://dev.10086.cn/dev10086/pub/loadAttach?attachId=0CA906BDA0BE47D7852B4BB247F57D54,主要的调用流程如下:

图片[1]-一键手机号登录是如何实现的?是否会存在隐私安全问题?可以通过热点获取手机号?-FancyPig's blog

另外,我不想花钱买接口,只想白嫖,于是我去搜索用了移动取号接口(https://www.cmpassport.com/NumberAbility/jssdk/jssdk.min.js)的一些站点,这里搜索的方法有很多,github、google、hunter、fofa、zoomeye等,这期间其实有点尴尬,搜到一些源码,将第三方取号接口的请求密钥写在代码里,这也可以被滥用。于是,很轻松地找到了某站点。

图片[2]-一键手机号登录是如何实现的?是否会存在隐私安全问题?可以通过热点获取手机号?-FancyPig's blog

手机开热点给电脑用,浏览器通过burp抓包,token每次都可以刷新生成,再用token去请求获取手机号:

图片[3]-一键手机号登录是如何实现的?是否会存在隐私安全问题?可以通过热点获取手机号?-FancyPig's blog

然后我们在userId里就可以看到手机号了

图片[4]-一键手机号登录是如何实现的?是否会存在隐私安全问题?可以通过热点获取手机号?-FancyPig's blog

可以看到这里服务端已经成功从运营商网关获取到了手机号,并且返回给了我们,并且一键登录成功

图片[5]-一键手机号登录是如何实现的?是否会存在隐私安全问题?可以通过热点获取手机号?-FancyPig's blog

0x03危害

看到这里,不得不感叹运营商数据的强大,这种一键登录虽然方便了业务,但也给我们造成了手机号码泄漏的风险,以及被各种电话推销的烦恼,这里有几个骚操作,通过手机热点的连接,可以使用第三方站点获取到对方的手机号,比如你女神的手机号?另一个危害是,可以通过一键登录,直接登录对方的账号,我这里直接在浏览器通过手机热点,一键登录了我的某金融H5站点。。。还有个危害,当站点存在xss,可以构造链接通过点击拿到对方手机号,并发送给我们,当然你有钱可以自己买运营商接口,只是备案可能比较麻烦。最后,以后别人跟你要手机热点的时候,必须要慎重。

© 版权声明
THE END
喜欢就支持一下吧
点赞27 分享
评论 共8条

请登录后发表评论