V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
evilStart
V2EX  ›  Android

安卓 app 可以在没有任何权限的情况下获取手机号码?

  •  
  •   evilStart · 2020-10-07 11:24:55 +08:00 via Android · 18786 次点击
    这是一个创建于 1542 天前的主题,其中的信息可能已经有所发展或是发生改变。
    发现有些安卓 app 没有被授予任何权限的情况下也可以显示本机号码(比如美团),这是怎么做到的?
    平台:Android 10
    49 条回复    2021-09-15 20:26:21 +08:00
    Jirajine
        1
    Jirajine  
       2020-10-07 11:26:23 +08:00 via Android
    是傻逼运营商给的 API,别用流量用 WiFi 或代理。
    yushuda
        2
    yushuda  
       2020-10-07 11:27:59 +08:00
    运营商网关提供的。
    Maskeney
        3
    Maskeney  
       2020-10-07 11:28:58 +08:00   ❤️ 1
    可以,三大运营商都有对应 API,使用数据流量就可以通过其获取号码,不过理论是上点击同意之后才能拿到完整号码
    TypeError
        4
    TypeError  
       2020-10-07 11:32:42 +08:00 via Android   ❤️ 5
    运营商内鬼,

    让你们所有人实名制后,就可以放心卖手机号了
    theolin
        5
    theolin  
       2020-10-07 11:39:32 +08:00
    iOS 也一样。运营商出卖用户的手机号。不过你看到的那个页面还是运营商的,在你点确认之前,美团还拿不到你的手机号。
    Hallujah
        6
    Hallujah  
       2020-10-07 11:49:33 +08:00 via Android   ❤️ 1
    这问题我也疑惑好久了,感谢楼主提出来
    wunonglin
        7
    wunonglin  
       2020-10-07 12:07:51 +08:00   ❤️ 1
    月经贴了。
    运营商有 api
    Jerami
        8
    Jerami  
       2020-10-07 12:22:24 +08:00 via Android
    所以这个到底违不违法?
    wunonglin
        9
    wunonglin  
       2020-10-07 12:36:18 +08:00
    @Jerami #8 运营商提供的 api,违法啥?
    si
        10
    si  
       2020-10-07 12:42:01 +08:00
    app 调用运营商的 sdk,弹出那个授权的页面,允许授权之后,sdk 返回号码给 app 。
    原理应该是 sdk 通过流量连接运营商的服务器,只要不给用流量就不能读取到号码了。
    icebearloveu
        11
    icebearloveu  
       2020-10-07 12:49:36 +08:00
    这是运营商搞的,用流量的情况下可以本机号码一键登录
    musi
        12
    musi  
       2020-10-07 12:50:11 +08:00 via iPhone   ❤️ 1
    这不很正常么,以前还有输入手机号就可以知道机主姓名的
    zsdroid
        13
    zsdroid  
       2020-10-07 12:50:35 +08:00
    这个说村通网不为过吧?
    opengps
        14
    opengps  
       2020-10-07 12:57:34 +08:00
    这个是单独的运营商提供的服务,不是 app 违规本地信息获取的。
    另外,app 本地能获取的关于本机手机卡的 iccid 数据(手机卡背面的 20 位编码),不能获得手机号数据(手机号数据实际是在需要运营商服务器端转换的)
    dingwen07
        15
    dingwen07  
       2020-10-07 14:26:10 +08:00   ❤️ 2
    安卓不允许电话权限:网络运营商
    安卓 10-允许电话权限:IMEI 、ICCID 、SIM 卡电话号码、网络运营商
    安卓 10+允许电话权限:ICCID 、SIM 卡电话号码、网络运营商
    安卓允许位置权限后能获得更详细的网络运营商信息

    其他的就是调用运营商的 API 了
    dingwen07
        16
    dingwen07  
       2020-10-07 14:30:00 +08:00
    @dingwen07 #15 国内运营商有时候不会在 SIM 卡内写入手机号码,但是在系统内设置了手机号也会被获取到
    ruixue
        17
    ruixue  
       2020-10-07 14:41:13 +08:00   ❤️ 18
    运营商手机号授权 api,试试屏蔽域名
    config.cmpassport.comwww.cmpassport.com (移动)
    opencloud.wostore.cn (联通)
    id6.meopen.e.189.cn (电信)
    Jooooooooo
        18
    Jooooooooo  
       2020-10-07 15:29:58 +08:00
    你用了运营商的 sim 卡
    taobibi
        19
    taobibi  
       2020-10-07 18:46:20 +08:00
    感觉很多应用还是 ipad 安全,毕竟没有手机号
    Jerami
        20
    Jerami  
       2020-10-07 20:59:15 +08:00 via Android
    @wunonglin 我说运营商这样干,不违法?
    rf99wSiT6IxH1Z23
        21
    rf99wSiT6IxH1Z23  
       2020-10-07 21:34:47 +08:00
    我的联通营业厅,在使用 4G 流量的情况下,可以一键登录,看来是这样啊
    IGJacklove
        22
    IGJacklove  
       2020-10-07 23:26:45 +08:00 via Android   ❤️ 1
    @Jerami 法对他们那个级别基本是无效的,除非他们自己内斗。
    wunonglin
        23
    wunonglin  
       2020-10-07 23:33:51 +08:00
    @Jerami #20

    违什么法你至少列一个出来啊。

    如果你想说违反隐私方面的法律的话,人家也没侵犯你隐私啊,只是通过移动流量返回当前流量使用的手机号码而已,又没指名道姓,违法啥呀?
    FS1P7dJz
        24
    FS1P7dJz  
       2020-10-07 23:34:35 +08:00
    ios 我记得可以直接读取手机号的
    theolin
        25
    theolin  
       2020-10-07 23:57:35 +08:00   ❤️ 1
    @Jerami 没有违法。那个页面是运营商的页面,需要你授权才能将你手机号返回给 app 。你是可以拒绝的。反而是根据法律的要求,每个 app 都必须要收集你的手机号(本质上是要求实名认证。但是 app 通过手机号进行实名认证是最方便的,收集起来的手机号又能推广告又能卖钱,何乐而不为呢)。你不用运营商的一键登录,你也必须提供一个手机号才能用 app 。
    flynaj
        26
    flynaj  
       2020-10-08 00:02:33 +08:00 via Android   ❤️ 1
    很早以前,cmwap 接入,请求头里面就有手机号码。
    masker
        27
    masker  
       2020-10-08 00:04:10 +08:00 via Android
    @Jerami 你翻墙违法了,去自首吧
    woyaojizhu8
        28
    woyaojizhu8  
       2020-10-08 00:17:38 +08:00
    @taobibi 没有手机号( sim 卡槽)的设备,风控判定时可疑程度可能会增加
    woyaojizhu8
        29
    woyaojizhu8  
       2020-10-08 00:18:53 +08:00
    @Maskeney 理论上?那实际上这个运营商的授权过程很容易绕过吗?
    Jerami
        30
    Jerami  
       2020-10-08 00:21:42 +08:00 via Android
    @wunonglin 泄露手机号不算违法嘛?我不想把我的手机号给他们
    Jerami
        31
    Jerami  
       2020-10-08 00:43:04 +08:00 via Android
    @theolin 那就行了,唉,反正互联网基本没有啥法律,群魔乱舞
    newbieRenew
        32
    newbieRenew  
       2020-10-08 08:28:45 +08:00 via iPhone
    这确实很老了,十几年前 WAP 上网的时候就有这种接口了
    Greatshu
        33
    Greatshu  
       2020-10-08 08:56:51 +08:00
    应该有很多验证码厂商在搞这个
    https://www.geetest.com/Gateway
    EZG997
        34
    EZG997  
       2020-10-08 10:01:26 +08:00 via Android
    国内好多要求实名制,一是政策要求,二是运营商
    ruixue
        35
    ruixue  
       2020-10-08 10:02:15 +08:00
    @woyaojizhu8 #29 之前已经有类似的疑虑帖 /t/671734

    这有张流程图,可以参考

    http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/assets/pic/121111/cn_zh/1561616270841/%E4%B8%80%E9%94%AE%E7%99%BB%E5%BD%9520190627.png

    你点那个授权按钮后,认证 sdk 就会向运营商服务端报告已获得用户授权请求返回完整手机号,但那个授权页也是 app 展示给你看的,所以技术上 app 是可以直接模拟用户已授权然后用认证 sdk 去获取完整手机号的。。对此运营商也只是政策上规定不允许 app 绕过用户这么做,发现不提示用户授权直接去请求完整手机号会封 AccessKey,但实际情况我们用户不得而知
    EZG997
        36
    EZG997  
       2020-10-08 10:02:23 +08:00 via Android   ❤️ 1
    但是恰恰相关法律法规没有完善,导致信息被滥用,这找谁说理去?
    ruixue
        37
    ruixue  
       2020-10-08 10:09:22 +08:00
    @Jerami #30 我们目前能做的就是只用 WiFi,或者全局代理,或者屏蔽认证用的域名
    starsriver
        38
    starsriver  
       2020-10-08 10:22:15 +08:00
    问这个问题之前,先要知道手机本身不会存储自己的手机号。。。
    Jerami
        39
    Jerami  
       2020-10-08 10:25:59 +08:00 via Android
    @masker 要真讲法律,压根不需要翻墙了。
    fox0001
        40
    fox0001  
       2020-10-08 10:53:11 +08:00 via Android
    关于运营商提供电话号码 API,好像是 10 年前就有了吧?

    另外,关于地理位置坐标,app 会根据你的 IP 地址获取粗略的地理位置(不需要任何权限)。就是不知道运营商有没有 API 提供更准确的基站坐标之类
    ragnaroks
        41
    ragnaroks  
       2020-10-08 10:58:53 +08:00   ❤️ 2
    接过网抑某服务的表示,SDK 里面直接就没有用户授权这个说法,直接就一个接口返回手机号了;
    APP 里面显示的是否授权,就只是给用户看的一个 UI 组件
    treeport
        42
    treeport  
       2020-10-08 11:43:04 +08:00
    滑稽,国内大公司说国人愿意用隐私换取便利。
    Ives
        43
    Ives  
       2020-10-08 14:10:45 +08:00 via iPhone
    是否授权的责任在 app
    taobibi
        44
    taobibi  
       2020-10-09 19:02:53 +08:00
    @woyaojizhu8 我在平板上没用过支付类产品,目前用过的各种视频类 APP 从来没有提示过风险,支付类估计有风控
    taobibi
        45
    taobibi  
       2020-10-09 19:03:48 +08:00
    突然有个疑问,如果手机里差一个作废的手机卡,然后用 WIFI 上网,会是什么结果呢
    aliipay
        46
    aliipay  
       2020-10-09 19:37:08 +08:00
    @taobibi 结果 app 提示要你在 app 内打开,各种蛋疼
    ooh
        47
    ooh  
       2020-10-10 11:41:21 +08:00
    到底是什么接口啊 运营商 APP 的广播吗,我刚刚连的 wifi 没开权限,发现能获取到我手机号
    PlainTech
        48
    PlainTech  
       2020-10-18 12:47:07 +08:00   ❤️ 1
    可以看下移动的开发者文档 http://dev.10086.cn/docInside?contentId=10000067529678
    zagfai
        49
    zagfai  
       2021-09-15 20:26:21 +08:00
    @taobibi 有试过吗?哈哈
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2709 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 12:04 · PVG 20:04 · LAX 04:04 · JFK 07:04
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.