百米之内轻松获取你的手机号 —— 邪恶“黑匣子”正在中国热销

  • 尽可能少的携带电子设备在身上,尤其是重要会面、集会等场合!如果必须携带,请选择一次性手机

如果有一个盒子,只要你在它百米之内,就能直接获取你的手机号,你害不害怕?

最近一则新闻“一个盒子就能获取任意的手机号”被媒体报道出来,新闻提到,中国长沙一家公司正在售卖一个智能盒子,只要手机打开 WIFI, 在这个盒子周围 100 米范围内,任意手机号都可以被轻松获取。

本以为已被新闻报道,再加上涉及贩卖公民隐私,查询时应该会费番周折,甚至怀疑这公司可能已经被警方端掉了。可没想到的是,输入这家公司名字后,第一个出来的就是它的官网,还做了百度推广。

官网的装修也颇为用心,还在发展全国代理商。

官网页面下方模糊地展示着各种商标注册证书:

数据收集栏写着 “线下真实场景、采集Mac地址、无感采集技术”内容:

“智能盒子“的真面目

从官网看,这家公司经营的主要产品是“70度大数据营销平台”,具体如下:

介绍中的数据挖掘、app定向等词让产品非常高端、耀眼,可跟智能盒子的关系却一点看不出来。

该公司业务员说,该公司的主要产品就是智能盒子,官网上面的宣传内容都是基于盒子的营销服务。之后介绍了智能盒子的相关信息。

智能盒子是什么

智能盒子鼠标大小,可随身携带,连接 Wi-Fi 和移动电源就能使用,主要用来搜集mac地址

智能盒子的使用

该业务员说,只要手机使用者打开 WIFI 功能或者数据流量,都能够通过“智能盒子”采集到该手机的 mac 地址,之后通过后期技术手段进而分析出该 mac 地址所对应的手机号码。

智能盒子的市场需求

有了客户手机号码,可以运作的内容就太多了,并且非常危险!

背后技术原理

仅仅只是带手机在外面逛了一圈,还来不及施展任何操作,信息就已经暴露了。这是多么可怕的事。

第一步:用盒子获取 mac 地址

mac 地址:手机mac地址就是手机网卡地址,是唯一的,换句话说,就是手机的身份证号。

只要你打开 Wi-Fi,你的设备自己就在广播mac地址,这是Wi-Fi协议 802.11 规定,而智能盒子就是一个 WIFI 探针,实现这个成本极低。

至于通过数据流量获取mac地址,因为伪基站涉嫌违法,所以他们的业务员一再否认没有伪基站,但打开流量就能获取mac地址,除了基站还舍谁呢。伪基站我们已介绍过,点击可查看。

第二步:Mac 地址匹配手机号码

拿到mac地址后,又如何获得使用者的手机号码,官网的一句话解释是自建数据库资源匹配。那问题来了,自建的数据库是从哪里得来数据呢?可能性最大的数据来源有两种:

  • 一是运营商的信息泄漏。运营商会记录每个用户的 mac 地址,在有需要的时候查询,他们当然也知道你的手机号,因此他们是最完备的数据来源。
  • 二是 app 信息泄漏。现在app基本都是用手机号注册,下载之后,很多app都会默认获得你的mac地址。这些资源,除了我们已知的在暗网上面售卖的各种明码实价的信息,还有众多的内部信息泄漏渠道。

第三步:利用手机号作用户画像

⚠️ 有了用户的手机号码,就可以拿着这些号码去尝试注册各种网站,只要提示已注册,那么你就是这个网站的受众,再给你打上母婴、英语这些特征标签,完成人物画像。这也是“REG007”(查找你注册过什么)这些网站的原理。

不难发现在用智能盒子搜集mac地址的背后就是集合拖库、洗库、撞库三部曲的一条信息贩卖链。只是这个案例中,通过线下采集,精准收集了人物的位置信息 ⚠️

“正规”生意?

“智能盒子”与一般黑产手段最大的不同点就在于,用户手机号码是加密给到客户的。

“我们不会给你完整的手机号码,你只是有一个加密的联系方式”,业务员说,“给你完整的号码涉嫌侵犯用户隐私是违法的。”

只要加密就不涉及违法,这便是他们如今企业化、规模化的底气所在。

若真如他所说,这个设置实在是妙。从市场角度看,没有给出客户信息就可以保证商家持续的依赖企业,另一方面又能钻法律的空子,一举两得。

公民信息被如此大规模侵犯,真的不涉及违法吗?

侵害隐私权的定义:以非法方式公开,知悉,收集和刺探,利用他的个人隐私,信息或者活动的空间范围。

法律人士有两种不同观点:

一方认为确实不算侵犯隐私权。售卖加密的联系方式,行为实施时受害人并不具体化,不能以侵害具体隐私权论。

另一方认为应该界定为侵犯个人的隐私。加密的联系方式既然能直接联系到个人,那么它也就具备了一些个人信息的意味。同一个加密信息,只对应一个人,有特定性。

长期服务于网络安全领域的律师说:此案例处在灰色地带,国内个人数据保护立法还尚需完善,很难判别是否违法。

但欧盟 GDPR《通用数据保护条例》可以参考。该条例明确表示个人信息数据(包括个人隐私数据)在内的搜集与处理都要获得用户授权,且在授权的目的范围内,应尽可能少地搜集用户数据。此案中,盒子搜集的信息,是否界定为隐私数据并不影响其就是个人信息数据的事实,是必然违反GDPR的规定。

现在这个盒子还只是被用在市场营销上,但若是不能将其尽快遏制,被一些不法之徒用在其它途径,比如给周围人发送藏有监控木马的短信,基于地理位置精准的电信诈骗,又将会造成多大的安全威胁。况且,加密的手机号是可以被破解的!

售卖加密手机号是否违法,目前还尚有争议。且单就mac地址泄漏而言,是用户为了连接网络主动开启数据流量 /Wi-Fi 的,因此泄漏的风险是无法规避的。

从网络诞生以来,用户一直都在隐私和服务之间权衡。得到有价值的服务,注定要承担受到骚扰和其它损失的可能威胁,网络世界是无法保证个人信息绝对安全。

而面对这些灰色、黑色的擦边球区域,法律界定必须越来越细致。所幸的是,除了现行的隐私权保护条例,国内专门针对保护个人信息的法律《个人信息保护法》,已在制订中,将进一步为我们捍卫隐私信息权提供武器。

最后,提醒下各位,以后若是在周围看到这种白色的小盒子,请注意关机!

来自 FreeBuf 

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据