3·15晚会曝光，浏览网页就能获取手机号，骚扰电话背后的秘密

  每年的3月15日是消费者权益日，今年和往年有所不同，食品安全问题已不再是大篇幅，更多的是信息安全。本文目的仅为提高广大群众的网络安全意识，引发大家思考。

3·15简报

  今年的3·15于2022年3月15日20时00分按计划准时播出。节目列表如下图：

  可以看到除了粉条和酸菜，其它的都不属于食品安全范围。可以说央视网315对网络安全信息安全越来越重视了，也可以说食品安全经过相关部门多年努力已经越来越好了，没啥可报道的了。不过大家最关心的还是食品安全，我们看下热度排行，如图：

  本期要讲的就是排在第10的"推动骚扰电话的黑手"。可见热度并不高，大家的网络安全意识还是比较淡薄的。

外呼服务引发的信息泄露

  不少人可能会有这样的经历，只是用手机浏览了某些网站，并没有留下电话，但是却接到了相关行业的推销电话。
  骚扰电话1：喂？您好，我这边是消防证书报考中心的。
  骚扰电话2：首付是25万元起，想邀请您详细了解一下。
   国家相关部门一直在整顿，为什么还有人在拨打骚扰电话？他们又是怎么精准地获取了我们的浏览行为呢？
  其中有一家名为"融营通信"的公司，专门为一些电销公司搭建外呼系统、提供外呼线路。记者采访时，公司的冯经理透露：有很多电销公司在通过他们的系统拨打骚扰电话，只是话术进行了伪装。
  《中华人民共和国民法典》里面明确规定，是不能陌拜客户的。陌拜或者说陌call，是业内对骚扰电话隐晦的称呼。冯经理介绍，通过融营通信外呼系统拨打骚扰电话，可以隐藏真正的主叫号码，防止被投诉。

  另一家叫做"容联七陌"的公司，是上市企业容联云通讯旗下子公司，也在为电销公司提供外呼系统和线路。在这里，骚扰电话同样被隐晦地称作“陌拜”。容联七陌为拨打骚扰电话的公司推出了另一种技术，来应对用户的投诉和监管。原理就是给甲方申请一个号码池，号码池里面有成百上千个号码。每外呼一次，就会轮显里面一个号码。
  围绕着骚扰电话这个黑色产业，除了这些专门提供外呼系统的公司，还有在为骚扰电话提供大数据支撑的。杭州以渔公司，位于拱墅区一个普通的写字楼内。公司唐总经理在数据行业内摸爬滚打多年，经验十分丰富。
  在调查中，公司技术员登录了一家装修公司通过杭州以渔所开的外呼系统后台，上面记录了某装修公司给用户拨打营销电话的录音。唐总经理介绍，这些用户都是近期用手机浏览过一些家具、装修网站。虽然用户没有留下电话号码，但通过他们的系统却可以直接给用户打电话。
  唐经理说：他只要有浏览行为，比如你今天浏览这个东西，也没留电话，就可以给这个用户打电话。简单说就是只要用户浏览网页，就可以获取到手机号。
  随后，杭州以渔公司便下发了近期登录记者想了解的网站用户数据，手机号码虽然是加密的，但确实可以拨通。除了利用加密的号码给用户拨打骚扰电话，部分公司还能通过技术手段，获取用手机上网用户的明码手机号码。
  乘移信息技术有限公司的业务经理说：抓取我自己广告页面的用户，其实我们管理后台的人是可以看到客户号码的。价格有点高，15元一条。而郑州绿牵网络公司，则号称几乎可以获取登录所有网站用户的明码手机号码。
  郑州绿牵网络科技有限公司的业务经理说：客户用手机打开页面的时间，他的手机号就被获取了。
  赵经理特别强调，买卖明码的用户手机号是违法行为。这样的数据生意，必须通过一个不留痕迹的聊天软件进行交流，交易也只能用虚拟货币。

原理探究

  研究网络安全的应该知道，利用一个漏洞，往往需要很多前提条件。例如著名的"永恒之蓝"，利用它入侵主机的前提就是需要目标机器开放445端口。再比如说前阵子流行于QQ群的"天眼查"病毒，它要控制手机，前提是需要用户下载安装这个程序，而且还要赋予一定的权限。
   上文描述的行为貌似非常厉害，只要用户浏览网页就能获取手机号。我第一时间在想，难道浏览器有重大漏洞？这段我反复看了几遍，获取了几个关键信息：
   1、没有涉及到浏览器的版本以及浏览器型号。也就是说不管你用的是QQ浏览器、360浏览器、百度、谷歌、Safari浏览器等等，都可以获取。做过渗透测试的应该了解，某个漏洞往往只发生在某些版本，比如Tomcat远程代码执行漏洞（编号CVE-2017-12615），该漏洞就只在Tomcat 7.0.0 ～ 7.0.79版本才有。往往漏洞曝光的第一时间就会被修复。
   2、没有涉及操作系统。没有说使用Android还是iOS，但推测是无论是Android还是iOS都不影响。
   网上相关的信息较少，因为移动蜂窝网安全关注的人很少。我们反过来分析，浏览器无非就是一个软件，和QQ、微信这样的软件一样，都要受到OS提供的API接口能力的限制和系统策略的制约。视频有这样一句话：

  这里说的MAC地址大家应该不陌生。虽然括号给出手机识别码可能不是指MAC地址，因为手机还有其它识别码，比如IMEI码，但谷歌出于安全考虑，Android 10.0以后彻底禁止第三方应用获取设备的IMEI（即使申请了 READ_PHONE_STATE 权限也不行）。
  还有就是设备序列号，在Android 7.1或更早的版本（SDK<=25），可通过android.os.Build.SERIAL获得，由厂商提供。到了Android 10.0（SDK>=29）以后，则和IMEI一样，也被禁止获取了。还有一个和手机无关，但也可作为识别码的：IMSI码，这个需要用户赋权限，它保存在sim卡里面，与手机号有关（此处是伏笔）。
   最后就是MAC地址，大多Android设备都有Wi-Fi模块，因此，Wi-Fi模块的MAC地址就可以作为设备标识。同样是基于隐私考虑，谷歌不建议获取MAC地址。Android 6.0以后通过函数WifiManager()获取到的MAC地址是固定的。Android 9.0及以上版本默认使用了“随机MAC地址”。如图：

   回归正题，前面我说了任何漏洞利用，都有前提条件，看来他的前提就是获取一个设备标识码（具体不管是不是MAC），然后根据这个码可以反向查询到手机号。且不说浏览器能不能获取，前端的三驾马车HTML、CSS和JavaScript，都没有这个能力。有一种猜测是通过User-Agent来获取相关信息，因为HTTP请求携带的UA确实有一些与手机相关的信息。
   其次就是手机号是与sim卡有关的，本身不属于手机。也就是说手机号和MAC、IMEI等并非是一一对应的。那么他很有可能维护了一个庞大的数据库，把MAC和手机号做了关联，这样通过MAC就能反查手机号。
   这可以解释用户浏览他们的广告页时，他们服务器可以记录下来，再反查。但绿牵网络公司则可以获取浏览所有网站的用户手机号。这就值得怀疑了。例如我浏览京东官网，按理说只有京东后台才能看到我的浏览记录，其它人是获取不到的，更别说获取手机号了。
   这使得我不得不把目光移向了运营商。只有运营商能做到，无论用户浏览什么网站，所有的流量都必须经过运营商的基站和路由器。这样可以获取到用户的imsi码，而imsi码是与手机号一一对应的。到这里我有两种推测：
   1、一种是他们和运营商的某些工作人员有合作，那些工作人员把数据卖给他们，这也是极有可能的。

   2、还有一种情况就是发现了运营商泄露的接口。一些黑产会去找一些运营商泄露的接口，这些接口用的是流量网关自动获取的用户手机号码，效果即用户手机端打开流量，访问某个页面，然后后端就知道用户的手机号。2015年曾经有过这样的漏洞（从乌云实验室被删除的历史数据，这一点我从其它平台引用的链接时间戳得到证实，该漏洞时间可能更早，大概是2010年，后面通过普遍使用HTTP协议也佐证了这一点）：

  该漏洞主要是针对浏览网页，手机浏览网站加载一段黑客提供的js代码后，即可获取到访问者的移动手机号码，获取率很高，通过分析，是移动研究院那边的泄露漏洞！
  但无论是哪种情况，通过运营商这一渠道已经是毋庸置疑了。不过我觉得前者可能性更大，是由于政治原因不能涉及到三大运营商，所以没有播。因为漏洞一旦爆出很快就会被修复，而且4G的鉴权、加密和完整性保护做的蛮好的，没听说有什么重大漏洞，还能被持续利用好几年的。
  另外，在用运营商流量的情况下，可以获取客户的手机号以及相关的浏览途径、还有客户搜索的关键字等等一系列的情况，能准确判断出客户的真实需求或者潜在目的。但前提就是用户需要用蜂窝网络上网才行，也就是非WiFi的情况下。如果用户连WiFi上网浏览网页，那就无法获取手机号了。不过3·15在直播中没有说到这一点。
  有个案例可以作为思考（2016年的事），这位仁兄仅有一个百度账号是用自己的手机号注册的。每次浏览一些网站，如有时候看看教育机构，仅仅是点进去看介绍，没有额外操作，然后隔一会就会手机收到来电和短信，要么推销自己的产品、要么询问。他根本没留下任何信息，然后质疑是不是百度泄露了他的信息。下面一堆人开始喷了，但注意，他们忽略了一点，除了百度，运营商也是知道的，因为手机卡是从移动营业厅买的，买的时候还提供身份证等信息，运营商知道的远比百度多。当然最能说明的就是没有注册任何账户，但是被泄露了，那只能是运营商无疑。
  三大运营商往往是我们比较信任的公司，真就应了那句话：我爱的人伤我最深。

总结

   总之一通分析调查下来，花了几天时间，最后基本确认这些黑产公司是从运营商那里得到的数据。看来最大的漏洞还是人性。系统漏洞可以被及时修复，但人性的漏洞却一直存在。黑产背后庞大的利益链，315仅仅揭露了冰山一角。那些号称什么都查得到的社工库，一部分数据确实是数据库被黑客入侵窃取，但更多的是内部人员的买卖。外卖地址和电话、酒店住宿记录、各种网站的注册账户密码等信息、快递信息、各种社交软件的沟通记录、火车购票信息、共享单车骑行记录、网约车订单记录、网购记录、支付宝微信支付记录…简直就说不完，很难处处都防范。
  很多人都说大数据时代没有隐私，于是就放弃抵抗。我觉得不能这么说，至少我们要去做这件事，哪怕很多信息不可避免要被上传。大数据时代没有隐私，那意思是大数据泄露我的隐私他还有理了。网络安全为人民，网络安全靠人民。说的不就是我们每个人都有义务去做这件事，让那些科技巨头也知道，不要以为我们的隐私就可以随意利用和买卖。
  虽然我不可能因为保护隐私而不用支付宝，全部改为现金交易。但当我们隐私被泄露后，我们需要发声，需要去关注，而不是一脸无所谓。
  今年315直播回放，本期内容在1小时26分钟的位置：
  https://tv.cctv.com/2022/03/15/VIDE6KrFuP2OKvJ8SorYpwpJ220315.shtml?source=search
更多内容敬请关注（公众号）“极客随想”：

最后不得不吐槽一句：CSDN真是越来越**，审核算法像**。好端端的文章说违规。祝早日倒闭。