之前我们说到市面上出现一种“高科技设备”,可以采集到附近的手机号码,最后发现这设备其实一点也不“高科技”,就是一个wi-fi探针而已,真正神秘的地方在于其背后的“大数据”支撑,正是这个数据库里存了海量的手机mac地址<->手机号码对照关系,才得以在采集到mac地址后把手机号给匹配出来。
整个过程就是这样简单粗暴。当然它还存在两大缺陷,一是:现在越来越多的手机设备逐渐支持了随机生成虚拟mac地址功能,让wi-fi探针采集失去作用,二是:这个库并不能周全面面俱到,虽然它也已经很庞大了。
尽管如此,我们还是发现互联网科技公司在利用“大数据”中可能给个人隐私造成的严重危害,理论上这个库是有可能覆盖很广的,就像前不久某酒店的开房记录泄露一样,让多少都市男男女女的心里惶恐不安!
不少消协也屡次曝出多款app滥用权限,记录隐私的问题,并且目前也不见得有受到真正有效的管控。
所以,今天编辑要继续接着“大数据”阴暗的一面这个话题继续说下去,因为大数据实在是当今一件很可怕的事情,运用得好,造福国家造福社会造福百姓,控制不当,祸害国家祸害社会祸害百姓。
今天说的话题可能比昨天更叫人惊悚——仅凭手机号码,定位机主当前位置!!!
操作者仍然是普通社会人——既非运营商内部人员,也非公检法执法人员,也不是什么领导权贵…只是普普通通大众,利用了一些网络上的大数据资源,就实现凭借手机号码对一个人实现实时定位的理论方法(当然需要有少许的编程和数学知识)。
并且,整个操作过程完全是远程非接触的,不需要拿到目标对象的手机,不需要在上面偷偷安装什么木马程序或者定位软件之类,也不用向目标对象手机发送什么钓鱼链接,完全不需要接触到目标对象手机,整个过程是在无感知的情况下完成的。
这里顺便提一下,曾经网上流传有一种方法,是用微信给目标转发篇微信文章链接,欺骗对方阅读,然后偷偷记录浏览器ip或者html5的定位信息,来获取对方位置,且不说手机3g/4g移动上网时,全省网关出口ip就那几个,定位准确度完全是八百杆子打不着,毫无参考意义,就算用较为精准的h5定位信息,也一定会弹出“是否允许浏览器获取你的位置”提示框(无可避免100%会弹出),你确定这样操作对方不会秒懂并拒绝?
先来吊一下大家胃口,这里给出了一些提示,有没有相关的朋友可以猜出大致原理:
提示1、借助大数据公司;
提示2、借助相关地图api工具和数学算法;
提示3、这是一种基站定位的方法;
其中提示1“大数据公司”仍然是关键之处,可以进一步再提示一点,“大数据”公司面向所有普通人所提供的服务,让普通人也能得到某项原本没有权限获得的位置数据,不过这个数据当然不是赤裸裸地将目标对象位置显示出来,还需要进行提示2所说的进一步的数学推算,才能最终确定位置所在。最后提示3说明这是一种利用多基站进行定位的方法,理论上,城市中经度应该可以实现在小几百米中,(那种香港警匪片里看到大楼里一个红点/蓝点移来移去的是不切实际的),这个精度也已经足够让熟悉目标对象的人知晓大致的具体位置,当然,就即便是粗糙的数据,经过有效的提炼仍然可以具有高价值的,这个是后话了。
经过这些提示,有没有朋友已经猜出大概?
我们收到了两位朋友的留言,这里面准确地指出了两个关键点:
2046 :这个技术上不是很难 条件很重要
靖 :标点,半径,圆,交叉。
的确,原理也就在于这两点中,下面具体说说:
前不久,有国内“大数据行业第一股”称号的xxx数据公司多名员工因涉嫌传输公民个人隐私数据而被山东警方调查,包括多名公司的实际控制人,揭开了“大数据”泄漏公民隐私冰山一角。
小编的“大数据”并不来自上述这家上市公司,而是其它更多小型的“大数据”企业…
通过这些企业,小编发现他们提供的众多api接口中包括两项:
1、手机号所在城市验证
2、手机号所在经纬度验证
▲手机号所在城市验证接口
▲手机号所在经纬度验证接口
通过这两个接口,我们已经足够实现查询某个手机号当前位置——在哪个城市,哪个位置。
然而…
是直接告诉我们,机主在哪个城市吗?不是。
是直接告诉我们,机主所在经纬度吗?也不是。
因为不敢如此光明正大赤果果地侵犯公民隐私,大数据公司想打个“擦边球”,于是这两项api接口实际上是这样用的:
1、查询指定手机号是否在指定的城市你可以提交一个手机号码,查询他是否处于某个城市,如:13*********当前是否在北京,接口将会返回结果 是 或 否。
2、查询指定手机号是否在指定经纬度位置和上条一样,你可以查询一个手机号码是否在某个经纬度,同样返回结果是 或 否,来告诉你是否处于那个位置,如:13*********当前是否位于北京北河沿大街,如果不是(实际距离偏移量相差超过50km)将会返回结果否。这个数据距离偏移量还支持1-50公里自由调整。
确实像网友2046所说,“技术不难,条件很重要”,简单说到这里,你是不是觉得竟然是如此容易?
也的确就是这样,取得这些数据,不需要你特殊申请审批,人人都可以操作。到这里为止,你只要具备基础的上网常识,大体上可以获知一个在网状态的手机号的实时位置,无非就是还粗糙了一些,还有可能你需要操作许多次。
通过前面操作,要知道一个在网手机号的所在城市,理论上最多尝试294次(目前全国地级市数量)就能得到结果——当然实际上根本不需要这么多次。
重点在于,知道了一个城市后,如何接着具体锁定在具体什么位置。打比方说已经知道在上海这样的城市,通过多做几次的50公里“画圈”动作,利用“排除法”,很快就可以在地图上锁定一个<50公里的初步范围,进而继续利用缩小距离偏移量的数值,以及多次交叉、叠加画圆的方式,从数学理论上说锁定最后几百米范围是可以实现的。
也就是网友“靖”所点出的“标点,半径,圆,交叉。”
不过这里也存在一个“多次误差”的问题,本身接口所提供的手机位置,就是利用多基站定位方式获得的位置,这里已经存在一次误差,后来我们通过计算推算位置的过程中,同样存在二次的误差。如何尽量地消除这种误差,需要更多的算法,这里就不再做介绍。
编辑曾说大数据公司多掌握的海量数据是任何一个政府部门、普通企业单位都无法企及的,但是“大数据”运用阴暗的一面是件很可怕的事情,控制不当,祸害国家祸害社会祸害百姓。
我们所能看到的就是如此现状,现在对于“大数据”的管控非常之宽容,几乎可以说是纵容,以至于各种隐私几乎市面上都可以买到。不光是位置信息,还包括动车高铁、飞机出行记录,甚至消费能力画像,是一等座,还是二等座,是头等舱,还是经济舱,手机月消费金额,个人征信状况…乃至是否有犯罪记录,统统都能够买到。
所以说到这里,编辑不愿意背泄密的锅,我更愿意承认我泄的是“大数据”这个行业里隐秘的一面的秘。
文章来源:微信公众号“lbs”,雷锋网宅客频道授权转载。
雷锋网宅客频道(微信公众号:letshome),专注先锋技术,讲述黑客背后的故事,欢迎关注雷锋网宅客频道。