【公众号】搜索公众号:皮鲁安全之家,或者ID:piluwill
搜索疾病医生竟然找上门
图为短信截图
“而且他怎么会知道我刚看完病,要找医生呢?”李小姐说,发信息的医院与下午自己看的疾病正好对口,怎么会这样巧合,刚确诊别的医院就知道了?
抱着怀疑的态度李小姐添加了这位医生:“您好,请问您是想了解**疾病的什么问题,请尽可能详细描述,我可以帮你分析解答。”这位医生说。
“可是我只是在手机上搜索了这个疾病,就算点进这个医院也仅仅是短短数秒,根本没有输入过我的手机号码,根据一个浏览记录,民营医院就找上门了,也太恐怖了吧!”李小姐对第一财经记者表示。
那么这种灰色技术是如何泄露你的个人信息的呢?
民营医院“推广”新武器
在百度竞价排名之后,民营医院通过这种灰色技术似乎找到了新的更有效的推广渠道。
猎豹移动安全专家李铁军在接受第一财经记者采访时表示,之所以会发生李丽这样的情况,一种可能是部分机型的安全漏洞,可以直接拿到手机号,不过以往这些都是比较老旧的安卓手机;此外还有一种可能是利用了运营商的一些手机查询接口(漏洞),来动态获取手户手机号的。
“漏洞与运营商的某些服务接口有关,可以说防不了。只要有这种业务接口,漏洞就存在。”李铁军说。
医院页面中的获取用户手机的接口代码
在产品介绍中,软件称不仅抓取访客手机号码,获取二次营销的机会,提高企业销售额,还可以防竞价推广恶意点击和建立企业数据库,让你的客户不断买单。
而在这家公司的客户案例上,第一财经记者就看到了不少民营医院。百度的一份统计数据显示,类似使用这样黑色服务的机构已经超过数万。
“每次账号泄露都会有数据在黑市上卖。”一位百度数据部门的研究员告诉记者,“用户在浏览网页的时候硬件设备、手机信息可以被读取,这些信息可以跟黑市上的数据库匹配,如果不走运不仅仅是手机号码,包括邮、银行卡账号都可以被匹配出来。”
尽管“灰色技术”无处不在,不过以上专家还是给用户支了招,如何提防这些无孔不入的“推广分子”:
第一,只有当用户的流量走的是手机网络时,这类获取号码的方式才会成功。用Wifi或PC,都不会中招。因此搜索此类关键信息时,若怕手机号泄漏,可停用手机网络,使用Wifi网络,或改用PC端查询。
第二,这种方式并不是通过病毒或木马来获取用户手机号,而是因为对方在网站植入了查询代码,以获取更多的隐私资料。民营医院(或其它有同类营销需求的机构),先在搜索引擎上做推广,再配合这种手机号统计服务,可以获取到浏览了他们页面移动端用户的手机号。因此用户搜索医疗、支付等有关个人关键信息时,需要小心谨慎,分清楚推广链接与普通链接,分清楚正规医院网站与口碑不好的民营医院。
扩展阅读:
手机上网之后号码被泄露,原来是运营商惹的祸
2016年5月19日飞象网
体验
手机上网搜索妇科病后,果然被医院骚扰
接到爆料后,记者准备了手机进行体验,在搜索前关闭了wifi,只使用运营商的4G网络,将某妇科病的名称作为关键词进行搜索。
记者:你们是怎么知道我的手机号码的
记者:我浏览网页的时候没有输入任何个人信息啊,你们怎么能知道我的手机号呢
对方:您只要点开我们的网页,我们后台就能看到您的手机号。
记者:这个后台是你们自己的网站搭建的还是其他公司提供给你们的呢
对方:您到底是不是要咨询××方面的问题
记者:我就是好奇你们怎么能看到我号码的
追踪
号码泄露源于“访客手机号码抓取”技术
探究
“手机号码抓取”利用的是运营商系统漏洞
所谓的“号码抓取”究竟是如何实现手机号码获取的呢记者发现,在互联网上搜索“手机号码抓取软件”后,弹出了非常多销售此类软件的商户。根据这些商户的介绍,使用时只需要在网站上安装一段简单的代码,当访客在手机上浏览您的网页时就能抓取,抓取到手机号码后登陆软件在线后台,就能清楚地看到访客的信息,比如意向客户的手机号码,从而获得二次营销的机会。
当然,不是每次一有访客就能抓取到手机号码,该公司客服表示目前60%的抓取率已是很高的了,但不同的运营商因为技术不同抓取率是不一样的。这家公司自称目前有1000多位客户,在其宣传成功案例中,有无锡一些医院的名字,也有一些全国性的大商场、保险公司和汽车品牌等。该公司出售的这段代码软件的价格为500元/月、1350元/季、2400元/半年、4000元/年。
这些代码究竟怎么是获取个人信息呢专业人士猜测,要么通过隐藏代码来驱动用户的手机访问运营商官方的一个接口,获取到手机号码——就是营销网站利用运营商系统漏洞(不止一处)来获取号码。另一种方式是如果用户通过WAP类服务上网,可以通过直接读取浏览器访问信息的方式进行号码获取。