如何使用WhatsApp收集大量數(shù)據(jù)(附腳本)
如果你想要拿到所有WhatsApp用戶的手機(jī)號(hào)碼、頭像、以及狀態(tài)信息,那么我告訴你,這其實(shí)是一件非常簡單的事情,而且這些用戶甚至都不需要將你添加到他們的通訊錄里面。
大概在幾年之前,WhatsApp開始允許我們?cè)赪eb瀏覽器中使用WhatsApp了。這是一種提升用戶體驗(yàn)度的絕佳方法,因?yàn)榕c那手機(jī)屏幕里還沒巴掌大的九宮格鍵盤相比,使用鍵盤來輸入信息會(huì)更加的方便,而且復(fù)制粘貼或者添加附件也非常的簡單。雖然優(yōu)點(diǎn)如此之多,但缺點(diǎn)也肯定會(huì)有。壞消息就是,從技術(shù)角度出發(fā),我們將有可能利用WhatsApp的Web接口來創(chuàng)建一個(gè)龐大的WhatsApp用戶數(shù)據(jù)庫。需要注意的是,可能只有一小部分用戶不會(huì)受到影響:即那些沒有修改隱私設(shè)置的用戶(但WhatsApp并不鼓勵(lì)這種不修改隱私設(shè)置的行為)。接下來,我會(huì)給大家演示如何利用WhatsApp的API接口來收集大量有趣的用戶信息。
簡單介紹
Web版WhatsApp需要通過用戶的手機(jī)號(hào)來與WhatsApp服務(wù)器進(jìn)行連接。簡而言之,也就是瀏覽器只需要根據(jù)一個(gè)特定的手機(jī)號(hào)就能讓后臺(tái)服務(wù)器返回所有與該手機(jī)號(hào)有關(guān)的信息。可能返回的信息如下:
- 用戶頭像;
- 與用戶狀態(tài)相關(guān)的文本信息,例如“嗨,我正在使用WhatsApp”等等;
- 用戶當(dāng)前的在線/離線狀態(tài);
我們發(fā)現(xiàn),上述這些信息是可以通過手機(jī)號(hào)來請(qǐng)求獲取的。也就是說,這個(gè)手機(jī)號(hào)所對(duì)應(yīng)的WhatsApp是否將你添加為好友其實(shí)并不重要。因?yàn)檫@種通過手機(jī)號(hào)來請(qǐng)求用戶信息的操作不會(huì)受到任何的限制,所以我們就可以創(chuàng)建一個(gè)完整的WhatsApp用戶數(shù)據(jù)庫,然后保存用戶的手機(jī)號(hào)碼、用戶頭像、狀態(tài)文本信息、以及在線/離線狀態(tài)。我們可以通過這些信息構(gòu)建出一個(gè)與用戶手機(jī)號(hào)相關(guān)的完整時(shí)間軸,而這個(gè)時(shí)間軸可以告訴我們用戶的上線與離線時(shí)間。
目前,幾乎所有的網(wǎng)站在用戶瀏覽器中呈現(xiàn)內(nèi)容時(shí),都包含有一種特殊的程序來決定網(wǎng)站的功能及表現(xiàn)形式,這種特殊的程序就是我們所說的JavaScript代碼,這些JS代碼決定了用戶在點(diǎn)擊某個(gè)按鈕或移動(dòng)鼠標(biāo)時(shí)網(wǎng)站應(yīng)該產(chǎn)生怎樣的動(dòng)作。除此之外,它們也可以與服務(wù)器進(jìn)行連接,并請(qǐng)求某些類型的數(shù)據(jù)。當(dāng)然了,Web端WhatsApp也不例外。它會(huì)向WhatsApp的后臺(tái)服務(wù)器發(fā)送一個(gè)手機(jī)號(hào)碼,幾毫秒之后它便會(huì)收到有關(guān)這個(gè)手機(jī)號(hào)碼的信息。對(duì)于我們來說,這種JavaScript程序的好處就是任何人都可以查看到它的源代碼,而且我們還可以將其用于其他的地方。我正是利用了這種可能性開發(fā)出了一個(gè)腳本,這個(gè)腳本可以向服務(wù)器請(qǐng)求大量手機(jī)號(hào)碼所對(duì)應(yīng)的賬號(hào)信息,更加重要的是,任何一個(gè)人都可以編寫出這樣的一種腳本。下面這張圖片顯示的是我的腳本請(qǐng)求的400個(gè)隨機(jī)手機(jī)號(hào)所對(duì)應(yīng)的信息:
隱私方面的擔(dān)憂
那么,當(dāng)我們拿到這些信息之后,我們能做些什么呢?首先你要知道的是,任何人都可以創(chuàng)建出這樣的一種數(shù)據(jù)庫,我們不僅可以知道一個(gè)用戶(手機(jī)號(hào))何時(shí)上線下線,而且還可以知道某個(gè)用戶頭像所對(duì)應(yīng)的手機(jī)號(hào)碼。接下來我跟大家說一個(gè)最貼近實(shí)際的使用場景。面部識(shí)別技術(shù)想必大家都聽說過吧?這項(xiàng)技術(shù)近幾年已經(jīng)發(fā)展得很不錯(cuò)了,你可以設(shè)想一下,當(dāng)你走在街上看見了一個(gè)美女(或帥哥),然后偷偷拍了一張TA的照片,而現(xiàn)在你只需要將這個(gè)照片放到數(shù)據(jù)庫中進(jìn)行比對(duì),你就可以拿到TA的手機(jī)號(hào)了。如果這是一個(gè)你所討厭的人,那么你還可以利用TA的照片、手機(jī)號(hào)、以及其他的信息并通過面部識(shí)別系統(tǒng)來登錄TA的某些在線服務(wù)。是不是很簡單呢?這就是我對(duì)WhatsApp這個(gè)問題所產(chǎn)生的擔(dān)憂。
WhatsApp給出的回應(yīng)
我非常支持“負(fù)責(zé)任的漏洞披露”,所以當(dāng)我發(fā)現(xiàn)了這個(gè)漏洞之后,我便立刻與Facebook(因?yàn)閃hatsApp是Facebook旗下的產(chǎn)品)取得了聯(lián)系。總而言之,他們已經(jīng)意識(shí)到了這件事情(有可能收集到大量用戶數(shù)據(jù)),但是他們并不認(rèn)為這個(gè)問題與用戶隱私有關(guān)。他們給出的回復(fù)如下:
雖然他們的回復(fù)看起來也沒什么問題,而且我自己甚至差點(diǎn)都被他們說服了。但是冷靜下來仔細(xì)想想,總是感覺怪怪的…
技術(shù)分析
不建議非技術(shù)人員閱讀這部分內(nèi)容,因?yàn)槟銈兛赡軙?huì)看不懂…
Web端WhatsApp使用了一個(gè)文檔中沒有提到的API,你可以隨意使用這個(gè)API,但你首先得自己弄清楚怎么去使用它。這里,JavaScript API在與WhatsApp服務(wù)器進(jìn)行通信時(shí)使用了一個(gè)WebSocket。
我在我的腳本中使用了三個(gè)API,第一個(gè)是Store.ProfilePicThumb.find(
請(qǐng)注意,你必須在Web端WhatsApp所運(yùn)行的同一標(biāo)簽中發(fā)送請(qǐng)求,你還需要在頁面DOM中添加一個(gè)元素。
第二個(gè)API是Store.Wap.statusFind(
第三個(gè)API是Store.Presence.find(
通過將這些API調(diào)用放到一個(gè)循環(huán)中,我們就可以不斷向服務(wù)器請(qǐng)求信息了。
腳本下載
【下載地址】
注:請(qǐng)不要將其用于非法目的!
