日前,網絡上爆出 AT&T 重大安全漏洞,只要你關閉 WiFi 處於屬於流量的狀態,不管你用的是什麼手機,輸入這個地址「https://bit.ly/crazymobiledemo」
點擊「Begin」,輸入你所在地區的郵政區號,然後點擊「See Underlying Data」,你就能看到你的家庭住址,手機號碼,和電信公司的合約,根據你手機連接的信號塔還能給出你的手機的具體位置信息。
還有更簡單的 Demo,甚至不需要區號:「https://bit.ly/mobilescary」
這一切都是因為 AT&T 在 2013 年宣佈的「移動身份 API 計畫」,所有的 AT&T 用戶都被包含在內,Verizon 最後也宣佈了類似計畫。這些服務能夠通過你的手機 IP 地址直接查看你的電話號碼,帳單信息,還能根據信號塔判斷你手機目前所在位置,甚至無需開啟 GPS定位。這些服務宣稱可以監控詐騙,但是實際上存在重大安全隱患。更嚴重的是,美國的電信公司們直接將收集到的這些未匿名的數據出售給第三方。
在幾天后,上面的兩個 Demo 被 AT&T 關閉,但 GitHub 上還能夠找到類似的 API。
