Whoscall Inspection

user-pic
Vote 0 Votes

Whoscall 在 2015-09-02 波卡搶購事件後, 在 FB 官方粉絲頁公開了一些統計數據, 等於自爆會記錄用戶外撥的電話。
一名網友在 FB 貼文指出「何時在哪打電話給誰、當下網路環境、手機型號、對方有沒有接他全部記錄」
後來我再做了一些測試, 結論是一樣的, 確認無論打電話或接電話, 都會傳送資料到 gga.whoscall.com
用戶有知的權利

先看撥電話的手機傳了什麼

uid: 使用者代碼
ts: 時間, micro-seconds since 1970-01-01
cache: 是否有 cache 資料
contact: 是否在通訊錄內
lnglat: 大略的經緯度, 我在兩個不同地點測試, 這個值跟實際位置, 都差了超過一公里, 在 Android 的設定/定位有看到 whoscall, 所以它應該也是調用系統的 API, 但不致於誤差這麼大啊
lookup_source: CallDiaglogOut 應該就是外接電話
ntype, ntypes: 應該是網路環境
num: 很明顯是電話號碼
user_status: RING (我試了有接, 沒接掛斷, 拒接, 都仍是 RING)

接電話的手機傳了什麼

大致上差不多

Whoscall 在 2015-09-05 在 FB 官方粉絲頁貼文「對不起,讓你們擔心了!」做了一些說明,
但是卻沒有交代為什麼要回傳每一通電話資訊, 沒有理由要記錄用戶所有的通聯。
貼文中有一張圖:

就這張圖的 QA 內容來看, 是對的
但是實測撥打通訊錄內的電話, 仍會回報 gga.whoscall.com。我打電話給老婆為什麼還要跟 Whoscall 回報?

Whoscall 查詢 API 主機是 apiscdn.whoscall.com, 查詢某電話號碼被標記的名稱
來看一下 API 回傳的資料

telecom: 電信公司的 Unicode, 圖例 \u53f0\u54e5\u5927\u9580\u865f 轉成中文就是「台哥大門號」
geocoing: 地理位置 Unicode, 圖例 \u53f0\u7063 轉成中文就是「台灣」
其他看名稱就大概知道意思, 欄位滿完整的

寫這篇的用意, 是要告訴大家, 用 Whoscall 的服務, 是要付出代價的, 就是每一通電話都會被 Whoscall 所記錄。
寫這篇時的版本是 4.3.2, 希望之後的版本, 隱私權的部份能改善。

註: Whoscall 通訊是用有加密的 https, 本文的資訊是用 MITM 的方法取得

About this Entry

This page contains a single entry by Pank published on September 11, 2015 1:14 AM.

VMware P2V was the previous entry in this blog.

IP 是 is the next entry in this blog.

Find recent content on the main index or look in the archives to find all content.

Monthly Archives