每年的3月15日是消费者权益日,今年和往年有所不同,食品安全问题已不再是大篇幅,更多的是信息安全。本文目的仅为提高广大群众的网络安全意识,引发大家思考。
今年的3·15于2022年3月15日20时00分按计划准时播出。节目列表如下图:
可以看到除了粉条和酸菜,其它的都不属于食品安全范围。可以说央视网315对网络安全信息安全越来越重视了,也可以说食品安全经过相关部门多年努力已经越来越好了,没啥可报道的了。不过大家最关心的还是食品安全,我们看下热度排行,如图:
本期要讲的就是排在第10的"推动骚扰电话的黑手"。可见热度并不高,大家的网络安全意识还是比较淡薄的。
不少人可能会有这样的经历,只是用手机浏览了某些网站,并没有留下电话,但是却接到了相关行业的推销电话。
骚扰电话1:喂?您好,我这边是消防证书报考中心的。
骚扰电话2:首付是25万元起,想邀请您详细了解一下。
国家相关部门一直在整顿,为什么还有人在拨打骚扰电话?他们又是怎么精准地获取了我们的浏览行为呢?
其中有一家名为"融营通信"的公司,专门为一些电销公司搭建外呼系统、提供外呼线路。记者采访时,公司的冯经理透露:有很多电销公司在通过他们的系统拨打骚扰电话,只是话术进行了伪装。
《中华人民共和国民法典》里面明确规定,是不能陌拜客户的。陌拜或者说陌call,是业内对骚扰电话隐晦的称呼。冯经理介绍,通过融营通信外呼系统拨打骚扰电话,可以隐藏真正的主叫号码,防止被投诉。
另一家叫做"容联七陌"的公司,是上市企业容联云通讯旗下子公司,也在为电销公司提供外呼系统和线路。在这里,骚扰电话同样被隐晦地称作“陌拜”。容联七陌为拨打骚扰电话的公司推出了另一种技术,来应对用户的投诉和监管。原理就是给甲方申请一个号码池,号码池里面有成百上千个号码。每外呼一次,就会轮显里面一个号码。
围绕着骚扰电话这个黑色产业,除了这些专门提供外呼系统的公司,还有在为骚扰电话提供大数据支撑的。杭州以渔公司,位于拱墅区一个普通的写字楼内。公司唐总经理在数据行业内摸爬滚打多年,经验十分丰富。
在调查中,公司技术员登录了一家装修公司通过杭州以渔所开的外呼系统后台,上面记录了某装修公司给用户拨打营销电话的录音。唐总经理介绍,这些用户都是近期用手机浏览过一些家具、装修网站。虽然用户没有留下电话号码,但通过他们的系统却可以直接给用户打电话。
唐经理说:他只要有浏览行为,比如你今天浏览这个东西,也没留电话,就可以给这个用户打电话。简单说就是只要用户浏览网页,就可以获取到手机号。
随后,杭州以渔公司便下发了近期登录记者想了解的网站用户数据,手机号码虽然是加密的,但确实可以拨通。除了利用加密的号码给用户拨打骚扰电话,部分公司还能通过技术手段,获取用手机上网用户的明码手机号码。
乘移信息技术有限公司的业务经理说:抓取我自己广告页面的用户,其实我们管理后台的人是可以看到客户号码的。价格有点高,15元一条。而郑州绿牵网络公司,则号称几乎可以获取登录所有网站用户的明码手机号码。
郑州绿牵网络科技有限公司的业务经理说:客户用手机打开页面的时间,他的手机号就被获取了。
赵经理特别强调,买卖明码的用户手机号是违法行为。这样的数据生意,必须通过一个不留痕迹的聊天软件进行交流,交易也只能用虚拟货币。
研究网络安全的应该知道,利用一个漏洞,往往需要很多前提条件。例如著名的"永恒之蓝",利用它入侵主机的前提就是需要目标机器开放445端口。再比如说前阵子流行于QQ群的"天眼查"病毒,它要控制手机,前提是需要用户下载安装这个程序,而且还要赋予一定的权限。
上文描述的行为貌似非常厉害,只要用户浏览网页就能获取手机号。我第一时间在想,难道浏览器有重大漏洞?这段我反复看了几遍,获取了几个关键信息:
1、没有涉及到浏览器的版本以及浏览器型号。也就是说不管你用的是QQ浏览器、360浏览器、百度、谷歌、Safari浏览器等等,都可以获取。做过渗透测试的应该了解,某个漏洞往往只发生在某些版本,比如Tomcat远程代码执行漏洞(编号CVE-2017-12615),该漏洞就只在Tomcat 7.0.0 ~ 7.0.79版本才有。往往漏洞曝光的第一时间就会被修复。
2、没有涉及操作系统。没有说使用Android还是iOS,但推测是无论是Android还是iOS都不影响。
网上相关的信息较少,因为移动蜂窝网安全关注的人很少。我们反过来分析,浏览器无非就是一个软件,和QQ、微信这样的软件一样,都要受到OS提供的API接口能力的限制和系统策略的制约。视频有这样一句话:
这里说的MAC地址大家应该不陌生。虽然括号给出手机识别码可能不是指MAC地址,因为手机还有其它识别码,比如IMEI码,但谷歌出于安全考虑,Android 10.0以后彻底禁止第三方应用获取设备的IMEI(即使申请了 READ_PHONE_STATE 权限也不行)。
还有就是设备序列号,在Android 7.1或更早的版本(SDK<=25),可通过android.os.Build.SERIAL获得,由厂商提供。到了Android 10.0(SDK>=29)以后,则和IMEI一样,也被禁止获取了。还有一个和手机无关,但也可作为识别码的:IMSI码,这个需要用户赋权限,它保存在sim卡里面,与手机号有关(此处是伏笔)。
最后就是MAC地址,大多Android设备都有Wi-Fi模块,因此,Wi-Fi模块的MAC地址就可以作为设备标识。同样是基于隐私考虑,谷歌不建议获取MAC地址。Android 6.0以后通过函数WifiManager()获取到的MAC地址是固定的。Android 9.0及以上版本默认使用了“随机MAC地址”。如图:
回归正题,前面我说了任何漏洞利用,都有前提条件,看来他的前提就是获取一个设备标识码(具体不管是不是MAC),然后根据这个码可以反向查询到手机号。且不说浏览器能不能获取,前端的三驾马车HTML、CSS和Javascript,都没有这个能力。有一种猜测是通过User-Agent来获取相关信息,因为HTTP请求携带的UA确实有一些与手机相关的信息。
其次就是手机号是与sim卡有关的,本身不属于手机。也就是说手机号和MAC、IMEI等并非是一一对应的。那么他很有可能维护了一个庞大的数据库,把MAC和手机号做了关联,这样通过MAC就能反查手机号。
这可以解释用户浏览他们的广告页时,他们服务器可以记录下来,再反查。但绿牵网络公司则可以获取浏览所有网站的用户手机号。这就值得怀疑了。例如我浏览京东官网,按理说只有京东后台才能看到我的浏览记录,其它人是获取不到的,更别说获取手机号了。
这使得我不得不把目光移向了运营商。只有运营商能做到,无论用户浏览什么网站,所有的流量都必须经过运营商的基站和路由器。这样可以获取到用户的imsi码,而imsi码是与手机号一一对应的。到这里我有两种推测:
1、一种是他们和运营商的某些工作人员有合作,那些工作人员把数据卖给他们,这也是极有可能的。
2、还有一种情况就是发现了运营商泄露的接口。一些黑产会去找一些运营商泄露的接口,这些接口用的是流量网关自动获取的用户手机号码,效果即用户手机端打开流量,访问某个页面,然后后端就知道用户的手机号。2015年曾经有过这样的漏洞(从乌云实验室被删除的历史数据,这一点我从其它平台引用的链接时间戳得到证实,该漏洞时间可能更早,大概是2010年,后面通过普遍使用HTTP协议也佐证了这一点):
该漏洞主要是针对浏览网页,手机浏览网站加载一段黑客提供的js代码后,即可获取到访问者的移动手机号码,获取率很高,通过分析,是移动研究院那边的泄露漏洞!
但无论是哪种情况,通过运营商这一渠道已经是毋庸置疑了。不过我觉得前者可能性更大,是由于政治原因不能涉及到三大运营商,所以没有播。因为漏洞一旦爆出很快就会被修复,而且4G的鉴权、加密和完整性保护做的蛮好的,没听说有什么重大漏洞,还能被持续利用好几年的。
另外,在用运营商流量的情况下,可以获取客户的手机号以及相关的浏览途径、还有客户搜索的关键字等等一系列的情况,能准确判断出客户的真实需求或者潜在目的。但前提就是用户需要用蜂窝网络上网才行,也就是非WiFi的情况下。如果用户连WiFi上网浏览网页,那就无法获取手机号了。不过3·15在直播中没有说到这一点。
有个案例可以作为思考(2016年的事),这位仁兄仅有一个百度账号是用自己的手机号注册的。每次浏览一些网站,如有时候看看教育机构,仅仅是点进去看介绍,没有额外操作,然后隔一会就会手机收到来电和短信,要么推销自己的产品、要么询问。他根本没留下任何信息,然后质疑是不是百度泄露了他的信息。下面一堆人开始喷了,但注意,他们忽略了一点,除了百度,运营商也是知道的,因为手机卡是从移动营业厅买的,买的时候还提供身份证等信息,运营商知道的远比百度多。当然最能说明的就是没有注册任何账户,但是被泄露了,那只能是运营商无疑。
三大运营商往往是我们比较信任的公司,真就应了那句话:我爱的人伤我最深。
总之一通分析调查下来,花了几天时间,最后基本确认这些黑产公司是从运营商那里得到的数据。看来最大的漏洞还是人性。系统漏洞可以被及时修复,但人性的漏洞却一直存在。黑产背后庞大的利益链,315仅仅揭露了冰山一角。那些号称什么都查得到的社工库,一部分数据确实是数据库被黑客入侵窃取,但更多的是内部人员的买卖。外卖地址和电话、酒店住宿记录、各种网站的注册账户密码等信息、快递信息、各种社交软件的沟通记录、火车购票信息、共享单车骑行记录、网约车订单记录、网购记录、支付宝微信支付记录…简直就说不完,很难处处都防范。
很多人都说大数据时代没有隐私,于是就放弃抵抗。我觉得不能这么说,至少我们要去做这件事,哪怕很多信息不可避免要被上传。大数据时代没有隐私,那意思是大数据泄露我的隐私他还有理了。网络安全为人民,网络安全靠人民。说的不就是我们每个人都有义务去做这件事,让那些科技巨头也知道,不要以为我们的隐私就可以随意利用和买卖。
虽然我不可能因为保护隐私而不用支付宝,全部改为现金交易。但当我们隐私被泄露后,我们需要发声,需要去关注,而不是一脸无所谓。
今年315直播回放,本期内容在1小时26分钟的位置:
https://tv.cctv.com/2022/03/15/VIDE6KrFuP2OKvJ8SorYpwpJ220315.shtml?source=search
更多内容敬请关注(公众号)“极客随想”: