这是一个创建于 2847 天前的主题,其中的信息可能已经有所发展或是发生改变。
前提
长居海外,支付宝定位常年关闭,绑定着国内的电话卡(联通)。
正文
老婆回国带着我国内的电话卡,刚下飞机,我支付宝收到一条支付宝的推送,大致意思市 xx 市欢你,推荐美食。
而我并没有回国。关闭定位就没法获取位置信息了吗?顿时感觉自己 naive 了
第 1 条附言 2017-12-30 12:58:50 +08:00
我的手机从始自终都在海外,支付宝绑定的是国内手机,但支付宝收到了推送。是我收到了推送。无论我老婆的任何应用获取了位置也是获取她的位置信息,跟我支付宝无关。
既然支付宝知道了我的位置,只有一个可能是通过了手机号知道的。
她没有打开任何阿里系应用,还没出海关,只是跟我聊了下微信。
所以,你愿意相信是联通直接给了阿里数据呢?还是说其他途径得知位置+手机号,再把数据给阿里,阿里通过手机号查询到我的支付宝,再发送相关位置信息的推送?
既然支付宝知道了我的位置,只有一个可能是通过了手机号知道的。
她没有打开任何阿里系应用,还没出海关,只是跟我聊了下微信。
所以,你愿意相信是联通直接给了阿里数据呢?还是说其他途径得知位置+手机号,再把数据给阿里,阿里通过手机号查询到我的支付宝,再发送相关位置信息的推送?
 | 1 dot 2017-12-29 16:21:21 +08:00 via Android  1 大概还是可以通过附近的 WiFi MAC 来定位你的…… |
 | 2 hatw 2017-12-29 16:30:22 +08:00 。。。。这么恐怖?联通和支……¥%付宝互通? |
 | 5 b821025551b 2017-12-29 16:45:42 +08:00 ip 定位不可以么,大惊小怪。 |
 | 6 iislong 2017-12-29 16:54:49 +08:00 via Android 1 |
 | 9 honeycomb 2017-12-29 17:32:19 +08:00 via Android 至于直接通过手机的定位方面是这样: iOS 在没有定位权限时,应用拿不到位置信息。 Android 在 8.1 以前,没有定位权限时,应用还可以拿到当前已经连接着的 Wlan 的信息,因此能定位。 这个消息已经能直接证明运营商确实在卖(精度至少到市级的)定位数据 |
 | 10 yksoft1 2017-12-29 17:32:58 +08:00 你老婆回国没有开机吧?没有插卡没有开机,谁都不可能知道 SIM 卡到了哪里。 假设你老婆开机(使用的是没有运行应用功能的功能手机),那就只有联通知道机器到了哪里。 |
| 11 yksoft1 2017-12-29 17:33:37 +08:00 然而,假设你老婆把你的卡装进任何一台带有 ali 系应用、使用了 ali 系 API 包的应用的安卓手机开机,则 ali 完全可以知道你的卡的 IMSI、ICCID、还有基站 /Wifi/GPS 等定位信息,通过 IMSI、ICCID 反查以往的登录数据库能查出它对应的手机号(如果你 SIM 里写入了本机号码就更简单不用查了),因此服务器就以为用绑定了你的手机卡的 alipay 的你回国了。 ali 系应用、API 要那么多权限是有道理的。 |
 | 12 beakey OP |
| 13 yksoft1 2017-12-29 17:45:13 +08:00 @beakey 那还有一个可能,就是与 iPhone 关联的那个推送体系,也就是苹果向阿里泄露了信息。你老婆的 iPhone 关了数据连接、连接了 Wifi 没有? |
 | 14 LuckCode 2017-12-29 17:46:17 +08:00 via iPhone 有同学在运营商,他工作不久在我们群里说的第一句话就是:运营商什么都知道。 |
 | 15 wangxiaoer 2017-12-29 17:49:22 +08:00 via Android 兄弟,手机定位本身就是 GPS, 基站,wifi 联合计算的,这种情况不能得出运营商卖数据,除非你认为基站定位属于卖数据。 |
 | 16 akira 2017-12-29 17:50:19 +08:00 信息打通给用户更好的使用体验,嗯 |
 | 17 jasontse 2017-12-29 17:53:22 +08:00 via Android 阿里现在是联通股东 |
 | 19 Level5 2017-12-29 18:04:20 +08:00 |
| 20 honeycomb 2017-12-29 18:08:23 +08:00 via Android |
 | 21 joeaaa 2017-12-29 18:12:24 +08:00 反正我私以为各种合作卡的背后,肯定存在着某些 secret。没有利益就没有合作。 |
 | 22 xuan880 2017-12-29 20:17:46 +08:00 via Android ip 定位呀 |
 | 23 typcn 2017-12-29 20:31:19 +08:00 @honeycomb 想多了 Android 从 0.1 开始就可以读取附近的所有的 WIFI 名和 MAC 地址 iOS 从 iOS 4 开始可以读取当前连接的 WIFi 名和 MAC 地址,从 iOS 10 开始可以读取附近所有的 WIFI 名和 MAC 地址 均无需任何权限 |
| 26 dot 2017-12-29 20:57:01 +08:00 via Android 测试 |
| 28 dot 2017-12-29 20:59:11 +08:00 via Android @heiyutian 不用连的,只要开着 WiFi 允许 App 扫描,就能抓到附近的 mac 地址,一匹配就知道这个 WiFi 是哪里的…… |
| 29 yksoft1 2017-12-29 21:12:18 +08:00 总之,你下次做个实验。搞一台不能连接,或者可以完全禁止连接 PS 域( GPRS 拨号 3gnet,也就是指连接互联网)的 GSM/WCDMA 功能机,然后把卡插进去带到国外,关了机,回国再开机,看会不会出现到了哪里的提示。 如果机器连接了联通的 CS 域却没有连接互联网,ali 还能知道你的位置,那联通卖数据就证据确凿了。 然后,如果这样做发现 ali 不知道你的位置,那就做个对照组实验吧。 |
 | 30 Quaintjade 2017-12-29 21:25:01 +08:00 |
| 31 typcn 2017-12-29 22:32:00 +08:00 5 @Quaintjade 不知道讲过多少次了。。 它不需要你的 WLAN 定位信息,只需要获取一个信息,就是你当前连接的,或者是附近的 SSID 和 BSSID,读取这个是不需要询问用户的,除非你用 Xprivacy 拦截它,iOS 则没有任何办法拦截( CNCopyCurrentNetworkInfo or Hotspot Helper API ) 所以如果你要隐藏自己的位置,永远不要打开手机的 WIFI 功能,它会泄漏你所有去过的地方,甚至精确到 10 米之内。 如何找到 BSSID 和位置的对应关系?只要你的附近有任何一个人安装了**宝,并且给了它位置权限,**宝就会上传 TA 的位置和附近所有的 BSSID。 即使你没有给它位置权限,只要任何一个可以搜索到这个 WIFI 热点的人给了位置权限,那它就知道了你的位置,想想想这些软件的安装量有多大? @honeycomb 那看来我威力无穷。 |
 | 33 won 2017-12-29 22:56:13 +08:00 @yksoft1 不对,如果 LZ 老婆下飞机没有打开手机,但电池有电,在这种情况下 LZ 支付宝收到信息的话,应该就不是运营商的泄露,而是手机窃听方向了 |
 | 34 18583826786 2017-12-29 23:06:59 +08:00 via Android wifi 探针 |
 | 36 hongh2 2017-12-30 00:07:43 +08:00 via Android 今天刚到南京,就收到了南京旅游委员会的温馨提示了。。。 |
 | 37 Death 2017-12-30 00:46:01 +08:00 via Android 歪个题,有一种其他的可能性(情景受限的),lz 老婆在订机票时使用的帐号或者相关信息与那个手机号有关联吗? |
 | 38 zhengtu 2017-12-30 02:08:07 +08:00 via Android 运营商会提供信息给阿里,包括宽带账号手机号身份证号姓名之类的,但是你这个应该跟运营商关系不大。利益相关:某运营商人员 |
 | 39 citydog 2017-12-30 07:17:30 +08:00 这么好的服务,有啥可冷汗的,到死都不给你发个问候短信,就好了?哈哈哈哈 |
 | 40 ctsed 2017-12-30 07:52:06 +08:00 via Android 31L+1,有些公司专门卖这个数据的,统计推送之类的 sdk 服务商也会记录,然后拿去用 |
| 41 beakey OP @yksoft1 @typcn @Quaintjade @ctsed @ztshia 关键问题是,两部手机,我的在海外,她的带着我的 SIM 卡回国,数据流量开启了,我在海外的手机收到的推送,这个推送一定是根据手机号推的,不可能根据**她的** IP 之类的发到**我的**支付宝。(她手机是 iPhone,第一次用我的 sim 卡) |
| 42 ctsed 2017-12-30 08:40:30 +08:00 @beakey 你老婆手机上安装国内应用没???特别是阿里系的 要说卖基站 wifi 对应的经纬度坐标还有可能,手机号位置数据还没人自己收集的全,单独为了机卡分离的情景买一套数据就为了弄个完全错误的结果? 另外,手机开了热点蓝牙等等,被别的手机或网络设备扫到也可能会上报。 |
 | 43 ericbize 2017-12-30 09:24:56 +08:00 via Android 什么卖,阿里手持联通股份…… |
| 44 honeycomb 2017-12-30 09:55:55 +08:00 via Android 3 @typcn 很多人知道你是大牛,以前看你炸别人的钓鱼网站,还有做别的事自然不错。 但是这件事情你就是错了,而且显然是因为你没有接触最近的 Android 版本或 appops,我给你好好解释一下: 如果用一个比较低的 targetsdk sdk (好像是 Android 6 以前的某个 API level ),应用无需通过运行时权限即可获得: 附近 wifi 热点的 wifiinfo。 当前连接的热点的 wifiinfo。 对于其它应用 在 Android 6 ~ 8.1 的第二预览版之间 获取附近 WiFi 热点的 WiFiinfo 需要位置权限 当前连接的热点的 wifiinfo 则无需权限 在 Android8.1,没有定位权限,则拿不到任何一种情况下的 wifiinfo 上述三种情况下,appops 的设置也可以单独起作用,因此 appops 里设置为 ignore/deny 位置相关的 op 时: Android4.3 ~ Android8.1 dp2:只能拿到当前连接的 wifiinfo Android 8.1:拿不到任何一种 wifiinfo ------ 诶,自己看源代码吧 |
| 45 honeycomb 2017-12-30 10:02:47 +08:00 via Android @typxn 补充: 低 target APIlevel 做法里,应用使用相关 API 不需要运行时权限,且隐含获得 appops 层面的许可。 因此这个时候在 appops 里关掉位置 op,它还是会受影响。 源代码上,涉及到类似权限的处理大多是: 1,(可选)有系统特权类应用才能有的特殊权限时,忽略后续直接返回正确结果 2,由运行时权限 guard 一次,通不过就炸 securityexception 3,最后由 appops 来 guard 一次,通不过时通常用返回 null/固定值来处理 |
 | 47 xxx027 2017-12-30 12:17:50 +08:00 前阵子坐高铁经过 A 市 B 区,就收到了 A 市 B 区旅发委发来的 10650 开头的欢迎来到 XXX 的短信。卡是移动 4G 的,不过手机是 GSM 网络的功能机。: ) |
| 48 beakey OP |
| 50 ctsed 2017-12-30 22:10:15 +08:00 @beakey 国内应用用了第三方 sdk,sdk 本身收集这些信息,买了数据就知道某号码对应 位置,你老婆只要有一个开了定 位就关联到了,然后推到绑定这个手机的 x 宝上,明白没?聚合 api 这个 sdk 在 v 站就有被扒的记录 |
 | 53 009694 2017-12-31 11:42:34 +08:00 via iPhone 最后一看 用飞猪买的机票 |
| 54 beakey OP |
 | 55 Mitt 2017-12-31 16:21:55 +08:00 via iPhone https://image.ibb.co/cdcDjw/215_BE7_F3_5866_42_FF_B837_F3_E277_AA7489.png 一个小时前我把我太原的电话关机了 然后收到了这个通知 看来是机器学习的成果 我本人并不在太原现在 卡也不在 |
| 56 typcn 2019-04-11 09:25:13 +08:00 |
Select Language