百米之內輕鬆獲取你的手機號——邪惡「黑匣子」正在中國熱銷

儘可能少的攜帶電子設備在身上，尤其是重要會面、集會等場合！如果必須攜帶，請選擇一次性手機

如果有一個盒子，只要你在它百米之內，就能直接獲取你的手機號，你害不害怕？

最近一則新聞“一個盒子就能獲取任意的手機號”被媒體報道出來，新聞提到，中國長沙一家公司正在售賣一個智能盒子，只要手機打開 WIFI, 在這個盒子周圍 100 米範圍內，任意手機號都可以被輕鬆獲取。

本以為已被新聞報道，再加上涉及販賣公民隱私，查詢時應該會費番周折，甚至懷疑這公司可能已經被警方端掉了。可沒想到的是，輸入這家公司名字後，第一個出來的就是它的官網，還做了百度推廣。

官網的裝修也頗為用心，還在發展全國代理商。

官網頁面下方模糊地展示著各種商標註冊證書：

數據收集欄寫著 “線下真實場景、採集Mac地址、無感採集技術”內容：

“智能盒子“的真面目

從官網看，這家公司經營的主要產品是“70度大數據營銷平臺”，具體如下：

介紹中的數據挖掘、app定向等詞讓產品非常高端、耀眼，可跟智能盒子的關係卻一點看不出來。

該公司業務員說，該公司的主要產品就是智能盒子，官網上面的宣傳內容都是基於盒子的營銷服務。之後介紹了智能盒子的相關信息。

智能盒子是什麼

智能盒子鼠標大小，可隨身攜帶，連接 Wi-Fi 和移動電源就能使用，主要用來蒐集mac地址**。**

智能盒子的使用

該業務員說，只要手機使用者打開 WIFI 功能或者數據流量，都能夠通過“智能盒子”採集到該手機的 mac 地址，之後通過後期技術手段進而分析出該 mac 地址所對應的手機號碼。

智能盒子的市場需求

有了客戶手機號碼，可以運作的內容就太多了，並且非常危險！

背後技術原理

僅僅只是帶手機在外面逛了一圈，還來不及施展任何操作，信息就已經暴露了。這是多麼可怕的事。

第一步：用盒子獲取 mac 地址

mac 地址：手機mac地址就是手機網卡地址，是唯一的，換句話說，就是手機的身份證號。

只要你打開 Wi-Fi，你的設備自己就在廣播mac地址，這是Wi-Fi協議 802.11 規定，而智能盒子就是一個 WIFI 探針，實現這個成本極低。

至於通過數據流量獲取mac地址，因為偽基站涉嫌違法，所以他們的業務員一再否認沒有偽基站，但打開流量就能獲取mac地址，除了基站還舍誰呢。偽基站我們已介紹過。

第二步：Mac 地址匹配手機號碼

拿到mac地址後，又如何獲得使用者的手機號碼，官網的一句話解釋是自建數據庫資源匹配。那問題來了，自建的數據庫是從哪裡得來數據呢？可能性最大的數據來源有兩種：

• 一是運營商的信息洩漏。運營商會記錄每個用戶的 mac 地址,在有需要的時候查詢，他們當然也知道你的手機號，因此他們是最完備的數據來源。
• 二是 app 信息洩漏。現在app基本都是用手機號註冊，下載之後，很多app都會默認獲得你的mac地址。這些資源，除了我們已知的在暗網上面售賣的各種明碼實價的信息，還有眾多的內部信息洩漏渠道。

第三步：利用手機號作**用戶畫像**

有了用戶的手機號碼，就可以拿著這些號碼去嘗試註冊各種網站，只要提示已註冊，那麼你就是這個網站的受眾，再給你打上母嬰、英語這些特徵標籤，完成人物畫像。這也是“REG007”（查找你註冊過什麼）這些網站的原理。

不難發現在用智能盒子蒐集mac地址的背後就是集合拖庫、洗庫、撞庫三部曲的一條信息販賣鏈。只是這個案例中，通過線下采集，精準收集了人物的位置信息。

“正規”生意？

“智能盒子”與一般黑產手段最大的不同點就在於，用戶手機號碼是加密給到客戶的。

“我們不會給你完整的手機號碼，你只是有一個加密的聯繫方式”，業務員說，“給你完整的號碼涉嫌侵犯用戶隱私是違法的。”

只要加密就不涉及違法，這便是他們如今企業化、規模化的底氣所在。

若真如他所說，這個設置實在是妙。從市場角度看，沒有給出客戶信息就可以保證商家持續的依賴企業，另一方面又能鑽法律的空子，一舉兩得。

公民信息被如此大規模侵犯，真的不涉及違法嗎？

侵害隱私權的定義：以非法方式公開，知悉，收集和刺探，利用他的個人隱私，信息或者活動的空間範圍。

法律人士有兩種不同觀點：

一方認為確實不算侵犯隱私權。售賣加密的聯繫方式，行為實施時受害人並不具體化，不能以侵害具體隱私權論。

另一方認為應該界定為侵犯個人的隱私。加密的聯繫方式既然能直接聯繫到個人，那麼它也就具備了一些個人信息的意味。同一個加密信息，只對應一個人，有特定性。

長期服務於網絡安全領域的律師說：此案例處在灰色地帶，**國內個人數據保護立法還尚需完善，很難判別是否違法。**

但歐盟 GDPR《通用數據保護條例》可以參考。該條例明確表示個人信息數據（包括個人隱私數據）在內的蒐集與處理都要獲得用戶授權，且在授權的目的範圍內，應儘可能少地蒐集用戶數據。此案中，盒子蒐集的信息，是否界定為隱私數據並不影響其就是個人信息數據的事實，是必然違反GDPR的規定。

現在這個盒子還只是被用在市場營銷上，但若是不能將其儘快遏制，被一些不法之徒用在其它途徑，比如給周圍人發送藏有監控木馬的短信，基於地理位置精準的電信詐騙，又將會造成多大的安全威脅。況且，加密的手機號是可以被破解的！

售賣加密手機號是否違法，目前還尚有爭議。且單就mac地址洩漏而言，是用戶為了連接網絡主動開啟數據流量 /Wi-Fi 的，因此洩漏的風險是無法規避的。

從網絡誕生以來，用戶一直都在隱私和服務之間權衡。得到有價值的服務，註定要承擔受到騷擾和其它損失的可能威脅，網絡世界是無法保證個人信息絕對安全。

而面對這些灰色、黑色的擦邊球區域，法律界定必須越來越細緻。所幸的是，除了現行的隱私權保護條例，國內專門針對保護個人信息的法律《個人信息保護法》，已在制訂中，將進一步為我們扞衛隱私信息權提供武器。

最後，提醒下各位，以後若是在周圍看到這種白色的小盒子，請注意關機！

感謝大家關注本期綜合報導，您的關注、評論和讚賞是我們持續創作的最強動力

閱讀更多 毒舌吃瓜 的文章

關鍵字: Wi-Fi 網絡安全 法律