小心!使用网页版的WhatsApp时,请选择隐私模式
2015年,WhatsApp推出网页版,这让许多用户感觉一下方便了许多,因为使用键盘打字比触摸屏要快得多,而且复制粘贴、添加附件也更容易。不过在用户体验提升的同时,也带来了一些安全问题,最明显的就是隐私泄露。
用户使用网页版WhatsApp时,攻击者无需添加好友就可以获得电话号码、个人头像以及在线状态,从而创建一个庞大的WhatsApp用户数据库。只有少数设置了隐私模式的用户不受影响。因为这项功能是默认关闭的,大部分用户都不知道。
网页版WhatsApp通过用户手机连接到WhatsApp服务器,会向WhatsApp服务器传送该电话号码相关的网络信息,包括以下3个方面:
1.个人资料图片,
2.登录期间的社交信息,一般情况下,默认的开头信息为“你好!我正在使用WhatsApp”,
3.用户的在线或离线状态。
实际上,每个电话号码所注册的WhatsApp都会具备上述3个状态信息。当你用手机注册的电话号码在网页上登录时,你的完整个人账户信息,比如个人资料图片,登录期间的社交信息,在线或离线状态的数据库就会立即打开,让用户从手机的使用到网页的使用之间形成一个完整的对接数据库。比如下图这回答了以下问题:电话号码为xxx-xxxxxx的用户的在线和离线状态的时间线,就显示的非常完整。
目前几乎所有网页上的脚本都是用Javascript编写的,如果有人能控制用户所浏览的网站的脚本,那他们就能对用户的网络行为了如指掌。网页版的WhatsApp也不例外,如果有人能通过脚本向WhatsApp服务器发送一个电话号码,那么他就能在几毫秒内收到有关该电话号码的信息,而且还可以看到源代码。
我已经利用这种可能性开发一个脚本,利用该脚本我可以对请求加我好友的电话号码的信息进行了解。该信息包含个人资料图片,登录期间的社交信息,在线或离线状态。其实每个人都可以创建这样一个脚本,以下就是我利用该脚本,随机对400个电话号码所进行的信息调查:
如果WhatsApp数据库可以以这样的方式随意进行查询,那用户还有什么隐私可言,所以当我发现在WhatsApp中可以用这种办法收集大量数据时,我联系了Facebook。总而言之,虽然他们意识到这种数据收集的可能风险,但他们并不认为这是一个问题,以下就是Facebook的回应。
网页版的WhatsApp会使用未记录的API,该JavaScript API会通过使用WebSocket与WhatsApp服务器进行通信。
我在脚本中使用了三个API调用。第一个是Store.ProfilePicThumb.find(<电话号码>),它用于收集个人资料的照片。
如上图所示,我用电话号码请求了个人资料的照片。请记住,只能在网页版的WhatsApp运行的同一个选项卡中请求该URL,而且必须向DOM添加一个<img>元素。
第二个API调用是Store.Wap.statusFind(<电话号码>),它用于请求关于电话号码的登录期间的信息。
最后一个API调用是Store.Presence.find(<电话号码>),它用于请求在线或离线状态。
通过循环使用这些API调用,你就可以得到你想要的每个电话号码的信息了。
在本文开头,你看到那张图,就是我创建的一个调用界面。
小心!使用网页版的WhatsApp时,请选择隐私模式相关推荐
- 编程时请选择正确的输入法,严格区分中英文
计算机起源于美国,C语言.C++.Java.JavaScript 等很多流行的编程语言都是美国人发明的,所以在编写代码的时候必须使用英文半角输入法,尤其是标点符号,初学者一定要引起注意. 例如,上节我 ...
- 微信|QQ扫码登录网页版二维码失效问题解决方案 网站无法访问PC网页版如何解决 安卓软件历史版本下载 FV fooview悬浮球帮助教程
前言 1. 手机端浏览器登录网页的同时再用微信或者QQ扫码登录出现二维码失效问题如何解决? 2.部分网站无法访问PC网页版如何解决?请看方案 目录 前言 1.方案 2.方案 使用Edge安卓浏览器访问 ...
- 知乎网页版免登录浏览
在浏览网页版知乎时,如果你是没有登录的状态,你将会不能滚动任何内容,并被登录窗口卡在那里.那么今天就教大家一个不登录也能浏览知乎网页版的方法! 假设下面是一个打开的未登录的知乎页面 具体操作步骤(以c ...
- 仿网易云网页版音乐播放器,实现歌词随歌曲进行滚动高亮
引言 前几天在使用网易云网页版听歌时,看着那个页面的歌词随歌曲进行高亮,突然也想自己手动地去实现一下,于是呢,就仿照了网易云音乐的网页自己也写了个页面.效果图如下: 当然了,此处不做css的样式介绍, ...
- 破解网页版 百度云网盘无法下载大文件限制
问题描述: 百度云网盘网页版下载文件时,由于文件过大,点击下载,提示安装客户端下载.我们不安装客户端而继续使用网页版下载打文件呢? 方法如下: ---------------我用的chrome浏览器, ...
- 月老在线脱单交友盲盒php网页版源码
月老在线脱单交友盲盒php网页版源码,请看清楚!!!!! 是无授权,无加密,免公众号登录的全开原程序源码,也不是网上流传的Thinkphp框架结构 程序可对接易支付及第三方支付,环境配置简单,新手易上 ...
- 如何做一个简单的网页版地图
前言 以前做了一个安卓版的地图应用,现在突然想做一个简单的网页版地图.这个简单的网页版地图能根据城市名进行位置查询(有个城市列表的小控件,支持城市列表选择),还能根据经纬度进行位置查询.当你进行城市搜 ...
- WebGL Babylon 3D 魔方 66阶惊天巨魔 (网页版)
这是一个网页程序做出的 3D 魔方,使用Babylon.js 制作 ,底层是OpenGL 的 网页版WebGL,可以自由选择魔方的等级,快来看看吧 项目地址:https://github.com/Li ...
- WhatsApp网页版登陆,WhatsApp官网入口
WhatsApp网页版登录网址: https://web.whatsapp.com/ [需翻墙环境] https://www.whatsapp5.com/ [免翻墙版] 此网址为WhatsApp官网网 ...
- WhatsApp电脑版和WhatsApp网页版区别?
WhatsApp电脑版是可以在电脑上直接安装的版本,目前支持Windows系统和Mac系统. 具体下载方式,打开WhatsApp官网,然后点击 "Mac 或 Windows PC" ...
最新文章
- 2019 ACM - ICPC 全国邀请赛(西安)题解(9 / 13)
- 用BenchmarkDotNet给C#程序做性能测试
- 别太把GitHub的Star当回事
- 五、Hive架构,安装和基本使用
- Linux服务-telnet服务部署(配置允许root登录)
- ORA-01172,ORA-01151
- 分布式任务调度平台XXL-JOB搭建使用
- Android与物联网设备通信-网络模型分层
- 【数据结构 严蔚敏版】 链式栈基本操作
- java 圣思园_圣思园Java8新特性及实战视频教程完整版1
- 算法之BFS算法框架
- window10 删除桌面删除不掉的ie图标(快捷方式)
- c语言致命错误无法打开网页,电脑中IE浏览器显示异常或无法打开网页崩溃的解决方法...
- 0基础可不可以学大数据
- 快速理解三角函数:积化和差、和差化积
- SX1278超时设置与计算
- rust 飞天指令_腐蚀RUST代码大全 腐蚀RUST指令代码一览
- 举个栗子!Tableau 技巧(158):如何实现双域的服务器单点登录
- 【学习总结】Apsara Clouder云计算技能认证:网站建设:简单动态网站搭建+思维导图
- web复习--css