轻松获取你的手机号,这个“潘多拉魔盒”正在全国热销

标签: 终端安全 信息获取 黑产 | 发表时间:2018-09-10 10:30 | 作者:GEETEST极验
出处:http://www.freebuf.com

如果有一个盒子,只要你在它百米之内,就能直接获取你的手机号,你害不害怕?

最近一则新闻“一个盒子就能获取任意的手机号”被媒体报道出来,新闻提到,长沙一家公司正在售卖一个智能盒子,只要手机打开WIFI,在这个盒子周围100米范围内,任意手机号都可以被轻松获取。

今天,妮美就带大家一起来了解下这个黑科技(产)盒子。

本以为已被新闻报道,再加上涉及贩卖公民隐私,查询时应该会费番周折,甚至怀疑这公司可能已经被警方端掉了。可没想到的是,输入这家公司名字后,第一个出来的就是它的官网,还做了百度推广。

官网的装修也颇为用心,还在发展全国代理商,这高调作派不像一般搞黑产的。

1.jpeg

官网页面下方模糊地展示着各种商标注册证书,一副正经生意的模样。

2.jpeg

要是没有看到数据收集栏的“线下真实场景,采集Mac地址,无感采集技术”内容,我都快要怀疑自己进错了网站。

3.jpeg

总之,浏览完官网后,我对这家公司的兴趣进一步增加了。

智能盒子的真面目

从官网看,这家公司经营的主要产品是“70度大数据营销平台”,具体如下:

4.jpeg

介绍中的数据挖掘、app定向等词让产品非常高端、耀眼,可跟智能盒子的关系却一点看不出来。为了解更多内容,我以业务需求为由,联系了该公司业务员。

业务员告诉我,该公司的主要产品就是智能盒子,官网上面的宣传内容都是基于盒子的营销服务。之后给我介绍了智能盒子的相关信息。

智能盒子是什么

智能盒子鼠标大小,可随身携带,连接Wi-Fi和移动电源就能使用,主要用来搜集 mac地址

5.jpg

在运行中的智能盒子

智能盒子的使用

该业务员对我讲到,只要手机使用者打开WIFI功能或者数据流量,都能够通过“智能盒子”采集到该手机的mac地址,之后通过后期技术手段进而分析出该mac地址所对应的手机号码。

智能盒子的市场需求

有了客户手机号码,可以运作的内容就很多了,比如给客户发信息,打推广电话,发送广告推送,开展各种营销活动。

6.jpeg

正在装箱打包的盒子

介绍完之后,他力邀我到他们的公司实地考察,测试,并希望发展我成为区域代理,不难看出,他对自己公司的产品和未来还是相当自信。

背后技术原理

仅仅只是带手机在外面逛了一圈,还来不及施展任何操作,信息就已经暴露了。相信大家心里免不了有一丝慌张,也一定好奇,这个小小的“智能盒子”究竟是怎么实现他的这些功能的?我们一起来看看。

7.jpeg

第一步:用盒子获取mac 地址 

mac地址:手机mac地址就是手机网卡地址,是唯一的,换句话说,就是手机的身份证号。

只要你打开Wi-Fi,你的设备自己就在广播mac地址,这是Wi-Fi协议802.11规定,而智能盒子就是一个WIFI探针,实现这个成本极低。

至于通过数据流量获取mac地址,因为伪基站涉嫌违法,所以他们的业务员一再否认没有伪基站,但打开流量就能获取mac地址,除了基站还舍谁呢。伪基站我们已介绍过, 点击可查看。

第二步:Mac地址匹配手机号码

 拿到mac地址后,又如何获得使用者的手机号码,官网的一句话解释是自建数据库资源匹配。那问题来了,自建的数据库是从哪里得来数据呢?可能性最大的数据来源有两种: 

一是运营商的信息泄漏。运营商会记录每个用户的mac地址,在有需要的时候查询,他们当然也知道你的手机号,因此他们是最完备的数据来源。

二是app信息泄漏。现在app基本都是用手机号注册,下载之后,很多app都会默认获得你的mac地址。这些资源,除了我们已知的在暗网上面售卖的各种明码实价的信息,还有众多的内部信息泄漏渠道。

第三步:利用手机号作 用户画像

 有了用户的手机号码,就可以拿着这些号码去尝试注册各种网站,只要提示已注册,那么你就是这个网站的受众,再给你打上母婴、英语这些特征标签,完成人物画像。这也是“REG007”(查找你注册过什么)这些网站的原理。

8.jpeg

REG007网站

9.jpeg

在REG007搜索任意手机号

经过这么一分析,我们就不难发现在用智能盒子搜集mac地址的背后就是集合拖库、洗库、撞库三部曲的一条信息贩卖链。只是这个案例中,通过线下采集,精准收集了人物的位置信息。

“正规”生意?

“智能盒子”与一般黑产手段最大的不同点就在于,用户手机号码是加密给到客户的。

“我们不会给你完整的手机号码,你只是有一个加密的联系方式”,业务员小哥对我着重强调到,“给你完整的号码涉嫌侵犯用户隐私是违法的。”

只要加密就不涉及违法,这便是他们如今企业化、规模化的底气所在。

若真如他所说,这个设置实在是妙。从市场角度看,没有给出客户信息就可以保证商家持续的依赖企业,另一方面又能钻法律的空子,一举两得。

公民信息被如此大规模侵犯,真的不涉及违法吗?

侵害隐私权的定义:以非法方式公开,知悉,收集和刺探,利用他的个人隐私,信息或者活动的空间范围。

为此我咨询了相关法律人士,有两种不同观点:

一方认为确实不算侵犯隐私权。侵害隐私权是只针对特定人。售卖加密的联系方式,行为实施时受害人并不具体化,不能以侵害具体隐私权论。

另一方认为应该界定为侵犯个人的隐私。加密的联系方式既然能直接联系到个人,那么它也就具备了一些个人信息的意味。同一个加密信息,只对应一个人,有特定性。

长期服务于网络安全领域的王律师告诉我: 此案例处在灰色地带, 国内个人数据保护立法 尚需完善 ,很难判别是否违法

但欧盟GDPR《通用数据保护条例》可以参考。该条例明确表示个人信息数据(包括个人隐私数据)在内的搜集与处理都要获得用户授权,且在授权的目的范围内,应尽可能少地搜集用户数据。此案中,盒子搜集的信息, 是否界定为隐私数据并不影响其就是个人信息数据的事实,是必然违反GDPR的规定。

听完王律的解释后,我感到十分无力,现在这个盒子还只是被用在市场营销上,但若是不能将其尽快遏制,被一些不法之徒用在其它途径,比如给周围人发送藏有监控木马的短信,基于地理位置精准的电信诈骗,又将会造成多大的安全威胁。况且,加密的手机号是可以被破解的。

售卖加密手机号是否违法,目前还尚有争议。且单就mac地址泄漏而言,是用户为了连接网络主动开启数据流量/Wi-Fi的,因此泄漏的风险是无法规避的。

从网络诞生以来,用户一直都在隐私和服务之间权衡。得到有价值的服务,注定要承担受到骚扰和其它损失的可能威胁,网络世界是无法保证个人信息绝对安全。

 而面对这些灰色、黑色的擦边球区域,法律界定必须越来越细致。所幸的是,除了现行的隐私权保护条例,国内专门针对保护个人信息的法律《个人信息保护法》,已在制订中,将进一步为我们捍卫隐私信息权提供武器。

最后,提醒下各位,以后若是在周围看到白色的小盒子,还请注意关机。

*本文作者GEETEST极验,转载请注明来自FreeBuf.COM

相关 [手机 潘多拉] 推荐:

轻松获取你的手机号,这个“潘多拉魔盒”正在全国热销

- - FreeBuf互联网安全新媒体平台
如果有一个盒子,只要你在它百米之内,就能直接获取你的手机号,你害不害怕. 最近一则新闻“一个盒子就能获取任意的手机号”被媒体报道出来,新闻提到,长沙一家公司正在售卖一个智能盒子,只要手机打开WIFI,在这个盒子周围100米范围内,任意手机号都可以被轻松获取. 今天,妮美就带大家一起来了解下这个黑科技(产)盒子.

Google的潘多拉星球

- Cary - 36氪
Google搜索引擎的使命,就如同它的界面一样简单:左边有一大堆(持续增加中的)信息,右边有一位用户需要某个问题的答案,于是搜索引擎负责从左边的信息中挑选出适合做答案的部分并交给这位用户. 在 搜索引擎的运行过程中有四个过程,crawl(爬行)指派出蜘蛛在万维网上搜集信息,index(收录)则将这些信息整理储存,然后通过 relavance(相关性)选出适合信息,最后deliver(传送)给需要答案的用户.

潘多拉的启示

- ItTalks - 《商业价值》杂志
在以潘多拉为代表的众多在线音乐电台身上,人们看到了互联网科技和音乐产业重新拥抱的希望. 在2011年上市的美国高科技公司中,于6月中旬登录纽交所的在线音乐电台服务提供商潘多拉(Pandora)是最耀眼的明星之一. 这是因为自新世纪以来,沿着黑胶唱片时代、磁带时代、CD时代一路走来的,由科技推动音乐产业发展的轨迹,突然被互联网上的数字音乐大潮所冲断——唱片公司和乐迷被互联网隔离开来,整个音乐产业在盗版横行、歌手自立门户的大潮中大厦将倾.

《阿凡达2》:聚焦潘多拉海洋,也会有其他星球

- 牛 - 新影像日报
詹姆斯·卡梅隆(James Cameron)近日接受ABC电视台《夜线》(Nightlin)节目的访谈,谈到了他正在创作的《阿凡达》续集,据他透露《阿凡达2》(Avatar 2)将探索潘多拉星球的海洋,同时也会有其他星球. 卡梅隆说:“续集故事仍然会发生在潘多拉星球上,我是第二集、第三集一起写的,某种程度上算是个三部曲吧.

手机防尘塞

- Zoe - 玩意儿
如果你的 iPhone 平常不插耳机,那么如何防止耳机孔进灰尘呢. 其实不仅仅是它,很多手机的耳机孔太大,容易进入异物,时间长了,积累很多灰尘又不容易清理. 日本一家名叫 hashy-topin 的公司推出一款 Plugy 产品,专门堵 iPhone 耳机口. 它的插头设置成了耳机插头的样式,可以填充满耳机接孔,外面是一个个可爱的造型装饰,共有嫩芽、螺丝、发条、水龙头、蘑菇、钥匙6款.

手机:非工具

- 達 - 《商业价值》杂志
手机正在改变世界,因为它正在改变人类本身. 如果有外星人真的在观察人类,他们或许现在正在写下这样的记录:“这个物种正在经历一个剧烈的习性与形态变革期. 其过去100年来的科技爆发已经开始把这个物种带入‘体外进化’阶段——半导体技术正在让这群碳基生命体融合硅基基因,而这种融合已经从被称作‘手机’的沟通设备的‘器官化’开始了.

癌症与手机

- Yishen - 科学松鼠会
原作:http://xkcd.com/925/. 注:《美国流行病学期刊》2011年6月28日发表了一项研究,认为手机使用并不增加癌症发病概率. 该研究针对290万丹麦人,历时十余年. 此文主要作者在WHO下属国际癌症中心任职,正是该组织在六月把手机归入了“可能致癌”一级……. 另外,据我查到的资料来看,漫画里的第三张图似乎相当准确.

手机抓包HTTPS

- -
之前也介绍过 Charles 抓包神器,详细可以看这篇文章: 抓包神器. 这个神器主要是解决在开发过程中快速定位异常,到底是界面展示 Bug 还是接口数据异常. 这样借助这个神器,基本上在开发过程中就能解决很多问题了. 学会手机抓包也能解决开发中很多问题,不仅如此,还能解锁去广告、白嫖 VIP 等骚操作.

冀勇庆 。 华为云手机 。阿里手机 。小米手机

- nobush - 弯曲评论
[陈怀临注:原文作者是大名哼哼的,我的朋友冀勇庆同学. 其博客的URL是:http://jiyongqing.blog.techweb.com.cn. 勇庆同学曾任《IT经理世界》首席记者,专注企业商业模式及企业家管理能力的研究. 著作有《华为的世界》、《狼战》、《平台征战》、《头寸》等. 近期,云手机的概念可谓大行其道.

创意手机APP汇总

- ArBing - 月光博客
  在知乎上有人讨论“如果由你来创意一个手机app,它是什么样的”,网友有很多有意思的想法,因为对移动互联网这一块很感兴趣,所以把网友们的想法汇总一下,一来通过整理的过程想想app实现的可能性和实现后的潜力,二来抛砖引玉,希望能引发网友更多的思考. 分析提取照片中人物的衣着,列出每项价格及其相关服装对比,支持在线购买.