V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
TJT
V2EX  ›  Android

检查你的手机号是否会被浏览器通过 headers 发送

  •  
  •   TJT · 2016-02-18 18:49:44 +08:00 · 12130 次点击
    这是一个创建于 3212 天前的主题,其中的信息可能已经有所发展或是发生改变。

    刚才调试客户端的 headers 信息,然后顺便用手机的 Chrome 试了下,结果发现 headers 里面居然有自己的电话号码。对应这个 HTTP_X_UP_CALLING_LINE_ID key 。

    可以通过 http://www.mulliner.org/pc.cgi 来检测。

    后来我把 Data saver 关了,就消失了,但是我再打开却不会出现。 Google 了下没发现和 Chrome 有关系。我觉得可能是某个 App 搞的鬼,想研究下去但是却不能复现了😅

    15 条回复    2016-02-20 16:11:24 +08:00
    cmxz
        1
    cmxz  
       2016-02-18 18:56:00 +08:00   ❤️ 1
    理论上是运营商添加上的。如果要确定是否为运营商添加,可以安装 packet capture 来抓包看通过手机发出的请求中是否含有此 header
    TJT
        2
    TJT  
    OP
       2016-02-18 19:02:18 +08:00 via Android
    @cmxz 一开始我也是怀疑运营商,但是 headers 里还有华为提供的 IMSI 码, 貌似是 `HTTP_X_HUAWEI_IMSI`。手机是 Nexus 6p
    sagnitude
        3
    sagnitude  
       2016-02-18 19:02:19 +08:00
    TJT
        4
    TJT  
    OP
       2016-02-18 19:08:45 +08:00 via Android
    @cmxz 我试了很多方法也没能重现,也没来得及抓包。可能 Data saver 会通过 proxy 和加上 `HTTP_ACCEPT_ENCODING` 然后触发某种机制导致的。
    TJT
        5
    TJT  
    OP
       2016-02-18 19:13:50 +08:00 via Android
    @sagnitude 我也查到了,不太靠谱,我是电信的, 4G
    sagnitude
        6
    sagnitude  
       2016-02-18 19:36:54 +08:00   ❤️ 1
    @TJT 应该就是 wap gateway 干的

    https://www.wikiwand.com/en/WAP_gateway

    比如这个 gateway 的介绍文档介绍了它能做到这一点:
    http://www.juniper.net/techpubs/en_US/junos-mobility11.4/topics/concept/httphe-mobility-overview.html

    还有个类似的 gateway 介绍:
    http://www.nowsms.com/nowwap-and-http-header-enrichment

    有个 stackoverflow 的回答可以参考:
    http://stackoverflow.com/questions/8428422/detect-an-msisdn-mobile-number-with-the-browser/11152022#11152022

    这篇文章列出了一些 Gateway 加的 http header ,其中提到 OpenWave 就会添加这个域:
    https://mobiforge.com/design-development/useful-x-headers

    这里有张图,也可以看一下
    https://docs.oracle.com/cd/E19097-01/sjs.cds51/820-1941-10/wapgateway.html
    sagnitude
        7
    sagnitude  
       2016-02-18 19:47:18 +08:00
    这种过时的技术…你是不是碰到伪基站了……
    raysonx
        8
    raysonx  
       2016-02-18 19:52:47 +08:00 via Android   ❤️ 1
    通過 CMWAP 接入點上網可能會被 WAP 網關加這個 HTTP 頭。換 CMNET 接入點就好了
    TJT
        9
    TJT  
    OP
       2016-02-18 21:40:36 +08:00 via Android
    @sagnitude
    @raysonx
    一直都是 ctlte 接入点的,是不是伪基站就不清楚了。
    不过可以肯定就是运营商干的,设备应该也是华为的😂
    lshero
        10
    lshero  
       2016-02-18 22:27:37 +08:00 via iPhone   ❤️ 1
    我记得移动很多年前就把 cmwap 的手机号干掉了改成白名单只有授权过的 SP 可以获取用户信息,电信不会干这种二逼事吧。话说楼主哪个省的明显感觉配置不当泄露用户信息?这个投递到乌云能否混个帐号?
    zouxy
        11
    zouxy  
       2016-02-19 07:09:32 +08:00 via iPhone
    10 年前我是开发 WAP getway 的。应该是 10 楼说的问题.
    packenx
        12
    packenx  
       2016-02-19 09:04:39 +08:00   ❤️ 1
    @lshero
    中国联通 WAP 网关泄露用户隐私
    http://www.wooyun.org/bugs/wooyun-2014-057406
    Frapples
        13
    Frapples  
       2016-02-19 11:25:26 +08:00
    如果与 ISP 没关系的话,可能是浏览器的锅了。换个第三方浏览器看看?
    TJT
        14
    TJT  
    OP
       2016-02-20 08:33:35 +08:00 via Android
    @lshero 这想法不错,有空我试试看能不能重现。广东的
    zouxy
        15
    zouxy  
       2016-02-20 16:11:24 +08:00 via iPhone
    给大家普及一下 手机自己是不知道自己的手机号的
    苹果手机也只是通过发送短信到服务器,然后服务器再送给手机保存在手机端,这是间接的方式。
    WAP geteway 加手机号是给 sp 为了收费什么的。彩信中心只有看这个才知道发送彩信方的手机号。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3099 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 14:26 · PVG 22:26 · LAX 06:26 · JFK 09:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.