10月8日,信报A8版报道了夏女士手机号码被潍坊某医疗网站获取,后被多次电话骚扰一事。网站为何能获取访问者的手机号码?城市信报记者详细咨询了岛城某高校网络安全方面的专家,该专家推测可能是网站植入了一些代码,利用第三方平台,解析了通信运营商在访问数据中添加的隐私信息。此外,网上有公司出售相关代码,称使用代码就可登录平台,实时获取访问者的各种信息,手机号、手机型号、所在地等一应俱全。
1 浏览网页,为啥能泄露手机号? 上个月,市民夏女士家里人身体不舒服,排便不顺畅,9月30日下午,她拿出手机想在网上搜搜,看看有没有什么好办法。她在百度搜索框输入“便秘”、“排便不畅”等关键词,她点击了排在第一位的潍坊某医院的网站。她觉得不是很正规,很快就退出了。但让她没想到的是,半个小时后,医院打来电话,询问夏女士需要什么帮助。
城市信报记者在网络上搜索,发现外地也有类似的手机号被泄露的事件。2014年2月下旬,济南多家媒体报道了市民李先生的遭遇。报道称,李先生感觉腰部有点不舒服,随即拿起手机打开浏览器搜索了一下“腰疼是怎么回事”。随便点开一条,发现是济南某男科医院的页面,看了两眼便关了,第二天,接到一个电话,对方称是济南某男科医院的工作人员。
不仅在山东,天津也曾出现过类似事情。据2014年7月21日天津《城市快报》报道,市民刘先生用手机浏览器在百度上搜索“现货黄金”投资理财产品,后来他突然接到一家投资理财公司工作人员打来的电话,问他是不是想投资理财,一番了解后得知,在他登录网站时已经被记录下手机号码。
网站如何拿到访问者的手机号?10月8日,城市信报记者通过邮件将此问题发给岛城某高校网络安全方面的专家,10月10日,城市信报记者当面采访了该专家。专家称,某些网站能够获取访问者的手机号,推测有两种途径:一是访问者所使用的浏览器在访问网站时,向发送的访问数据中添加了手机号等隐私信息;二是访问者的访问数据在通信运营商处理时加入了手机号等隐私信息。考虑到访问者所使用的浏览器种类繁多,而且浏览器对隐私数据的访问一般是受限的,其APP端获取手机号和其他隐私信息较难。所以,初步推断某些网站获取访问者的手机号是通过解析运营商在访问数据中添加的隐私信息实现的。
专家解释说,不管是电脑或手机访问网站,都是HTTP协议,必定有个叫“HTTP报文”的东西,这个里面有很多信息,User-Agent是访问者所用的浏览器和手机型号,这些都能看出来,还有IP地址,可以看出访问者是从哪个网络访问到这个网站的。在手机访问网站的时候,HTTP报文经过通信运营商的基站时,运营商在报文里面加了些东西,比如手机号、IMEI号,这些东西有可能是“明文”直接写在里面,也有可能是加密的。对于网站来说,每天都有很多来访者,所有的HTTP报文都能在网站的日志里找到。
“当然,如果报文信息是加密的,网站方是无法获取访问者的手机号等信息的,但是,如果网站运营者去通信运营商手中买到相关的‘接口’,这样,通过接口,网站运营者就能知道通信运营商在HTTP报文里面加了哪些东西,如何解密。”专家告诉记者。
不过,目前只有部分机构或网站能获取通信运营商的相关“接口”,于是就催生了中介机构,这些中介机构出售程序或者代码,只要相关网站购买,然后放在网站上,中介机构就能获取访问者的HTTP报文信息,然后利用网络通信运营商的接口进行解密,然后再传递给购买者。通过这样的流程,网站运营方就能获取访问者的手机号。
城市信报记者还联系到360安全卫士的安全工程师,工程师称在手机上搜索医疗信息,更容易遭遇不正规医疗网站。这是因为手机网站的制造成本更低,页面空间小更具迷惑性。目前手机WAP页面通过添加JS代码的方式,利用相关的接口和平台,有一定几率可以获取到手机号码、手机型号、机主所在地等关键隐私信息,存在安全风险。
2 公司卖手机号抓取软件,称成功率在3成以上 随后,城市信报记者在网上找到两家公司。一家叫睿州科技,公司在其网站的网页上售卖“手机号码抓取软件”,宣传词是“你想知道谁访问了你的网站吗?你想知道访问你网站人的手机号码吗?”声称,“是专门用于移动网站访客手机号码抓取的一套专业软件,使用者只要在移动网站上安装一段简单的代码,当访客在手机上浏览你的网页时,就能抓取手机号,抓取到手机号码后登录软件在线后台,就能清楚看到访客的信息,包括手机号码、网站标题、来源关键词、来源url、地区、IP等,可以批量通过Excel导出,方便管理。”
10月10日下午,城市信报记者以客户的名义致电这家公司,客服介绍,正如网站上所说,只要在网站上添加代码,然后登录一个平台,就可以随时随地获取访问者的相关信息。“移动、联通、电信的手机号码都可以,随时登录平台,随时就能获取手机号。”客服称目前的成功率是30%~60% ,不能保证获取所有访问者的手机号。城市信报记者询问为何不能全部获取,客服称是技术限制,“请注意如果谁给你保证获取率高达70% 甚至80% ,这绝对是骗子。”
客服还介绍,目前是优惠期,一年收费4000元,如果是半年,收费是2500元。城市信报记者询问通过何种手段获取手机号,客服称这个不方便透露,但绝对有用。
随后,城市信报记者咨询了另一家网站,这家网站叫谍豹云销。公司客服同样称只要在网站安装一段代码,然后登录相关平台,就能随时获取网站访问者的信息。软件售价略高,一年是4800元,半年是2800元。至于获取率,客服同样称,能达到30% 以上。
城市信报记者在网上搜索发现,大概10年前,用户只要访问WAP 网站,网站就能获取访问者的手机号和UA(User-Agent),因为通信运营商向WAP 网站发送了这些信息。2005年底,某通信运营商发出通知,声称从当年12月17日开始,正式向“某某梦网”外的WAP站点全面停止传送手机号码和UA 。
当时的新闻报道称,某运营商没有通过正式渠道发布这一消息,也未提供任何评论。不过,有运营商内部人士称,这种做法是出于保护用户隐私的目的。“毕竟,手机号码属于用户隐私,一些WAP站点在获得用户号码后进行了不正当的使用,或者提供给商家做促销,有的WAP站点急于扩展用户,胡乱群发,滋扰用户。”
也有媒体称,当时号码买卖现象严重,“优质”号码则是被纷纷掠夺的资源。这些“优质”号码的价格相当可观,活跃用户每个号码能卖到1~2分钱,比如A公司转手B公司的号码数量通常达数百万个,A 公司获利数万元,还可以再转手。B公司拿到这样的号码,随便怎么群发都能赚钱。
3 通过WiFi上网可避免泄露手机号 手机号被一些网站获取,市民有什么应对办法?城市信报记者了解到,使用WiFi访问网站可以避免手机号被抓取。据该专家介绍,WiFi访问和手机网络访问是两种不同的类型,使用WiFi访问网站,使用的是另一种网络,访问数据中没有手机号等相关信息,这样网站就无法获取到访问者的信息。
谍豹云销的网站上也介绍道,提取手机号码有两个前提条件:一是必须用手机访问网站,二是手机不能使用WiFi。
另外,360安全卫士的安全专家也给市民提供了三条建议:1、当搜索涉及隐私的内容时,尽量不给一些浏览器或APP获取手机号码、地理位置等权限;2、不在手机上随意打开不正规的医疗网站,尤其不随意填写要求提供身份证号的一些表单;3、一旦手机号码被获取,极有可能带来更多的骚扰电话及垃圾短信,要及时通过相关软件拦截并标记。
文/记者 李冰 图片来自网络
(来源:半岛网-城市信报) [编辑: 李敏娜]
