Whoscall 在 2015-09-02 波卡搶購事件後, 在 FB 官方粉絲頁公開了一些統計數據, 等於自爆會記錄用戶外撥的電話。
一名網友在 FB 貼文指出「何時在哪打電話給誰、當下網路環境、手機型號、對方有沒有接他全部記錄」
後來我再做了一些測試, 結論是一樣的, 確認無論打電話或接電話, 都會傳送資料到 gga.whoscall.com
用戶有知的權利
先看撥電話的手機傳了什麼
uid: 使用者代碼
ts: 時間, micro-seconds since 1970-01-01
cache: 是否有 cache 資料
contact: 是否在通訊錄內
lnglat: 大略的經緯度, 我在兩個不同地點測試, 這個值跟實際位置, 都差了超過一公里, 在 Android 的設定/定位有看到 whoscall, 所以它應該也是調用系統的 API, 但不致於誤差這麼大啊
lookup_source: CallDiaglogOut 應該就是外接電話
ntype, ntypes: 應該是網路環境
num: 很明顯是電話號碼
user_status: RING (我試了有接, 沒接掛斷, 拒接, 都仍是 RING)
接電話的手機傳了什麼
大致上差不多
Whoscall 在 2015-09-05 在 FB 官方粉絲頁貼文「對不起,讓你們擔心了!」做了一些說明,
但是卻沒有交代為什麼要回傳每一通電話資訊, 沒有理由要記錄用戶所有的通聯。
貼文中有一張圖:
就這張圖的 QA 內容來看, 是對的
但是實測撥打通訊錄內的電話, 仍會回報 gga.whoscall.com。我打電話給老婆為什麼還要跟 Whoscall 回報?
Whoscall 查詢 API 主機是 apiscdn.whoscall.com, 查詢某電話號碼被標記的名稱
來看一下 API 回傳的資料
telecom: 電信公司的 Unicode, 圖例 \u53f0\u54e5\u5927\u9580\u865f 轉成中文就是「台哥大門號」
geocoing: 地理位置 Unicode, 圖例 \u53f0\u7063 轉成中文就是「台灣」
其他看名稱就大概知道意思, 欄位滿完整的
寫這篇的用意, 是要告訴大家, 用 Whoscall 的服務, 是要付出代價的, 就是每一通電話都會被 Whoscall 所記錄。
寫這篇時的版本是 4.3.2, 希望之後的版本, 隱私權的部份能改善。
註: Whoscall 通訊是用有加密的 https, 本文的資訊是用 MITM 的方法取得