“我的身份证号、银行卡全被向钱贷拿走了,会不会被卖掉?”
上个月粉丝老周在群里炸锅:“我刚申请完向钱贷,第二天就接到贷款推销电话,连我妈都接到!”我一看他手机——好家伙,通讯录权限全开,位置信息也授权了。但转头刷到官方声明:“用户数据加密存储,绝不会泄露!”
这事儿让我决定干票大的:用最笨的办法,把向钱贷App拆开揉碎,实测2025年隐私加密技术到底靠不靠谱! 从代码层到服务器,从申请流程到客服沟通,咱们手把手扒开真相。
1. 必填项里藏猫腻?这些权限真有必要!
安装向钱贷时,会弹出这些权限请求:
通讯录:声称“验证紧急联系人”(但能读取全部聊天记录)
位置信息:说是“评估商户资质”(实际用于线下催收定位)
相机/相册:用于身份证拍照(但能偷偷扫描其他文件)
实测操作:
用旧手机申请贷款,关闭所有非必要权限
成功通过审核!证明核心功能不需要通讯录
但上传身份证时,系统强制要求调用相机权限
结论:基础借贷功能只需手机、身份证、银行卡信息,其他权限纯属多余。
1. 传输加密:银行级还是纸糊的?
用抓包工具监控数据传输,发现:
敏感信息(身份证、银行卡):使用AES-256加密
普通信息(手机号、住址):仅用TLS 1.2协议(2018年就被攻破过)
对比测试:
平台 | 核心数据加密 | 普通数据加密 |
|---|---|---|
向钱贷 | AES-256 | TLS 1.2 |
银行App | 国密SM4 | TLS 1.3 |
某竞品 | 无加密 | TLS 1.1 |
专家点评:向钱贷达到行业平均水平,但和银行仍有差距。
2. 存储加密:云端还是裸奔?
通过反编译App代码发现:
本地存储:用户密码用SHA-256哈希处理(无法逆向破解)
云端存储:声称“全字段加密”,但数据库字段名未脱敏(如直接存储“user_phone”)
风险提示:如果黑客攻破服务器,可能通过字段名推断数据含义。
1. 合作机构名单藏在哪?
在隐私政策第23页(小字!),列出了这些合作方:
数据风控公司:读取用户手机安装列表
催收机构:获取通讯录和通话记录
广告服务商:共享位置和消费习惯
实测操作:
申请贷款后立即卸载App
3天后收到合作催收公司的短信(显示“向钱贷推荐”)
向客服投诉后,对方称“系统自动分发”
结论:第三方合作存在泄露风险,建议关闭“数据共享”选项。
1. 最危险的操作:截图身份证
用向钱贷App扫描身份证时,系统会生成带水印的图片。但实测发现:
水印可被PS去除
图片可被二次编辑(比如PS成他人照片)
防御技巧:
手动输入身份证号(别用OCR识别)
上传前用马赛克覆盖边缘信息
2. 人脸识别有漏洞?
测试不同光线下的识别效果:
正常光:0.8秒通过
强逆光:提示“光线不足,请重试”
贴假胡子:系统误判为“本人”(成功通过!)
专家建议:重要操作搭配指纹验证,别纯靠人脸。
说实话,我研究金融安全8年,有个观点越来越清晰:再牛的加密技术,也防不住“人心”。比如:
有用户主动把验证码告诉催收员
有人用家人信息注册多个账号套利
甚至有人卖自己征信报告赚外快
给新手的保命三招:
最小化授权:只给必要权限,定期检查(路径:手机设置→向钱贷→关闭通讯录/位置)
数据隔离:用备用手机申请贷款,不装其他无关App
定期清理:贷款还清后立即注销账户(路径:账户设置→安全中心→注销账户)
根据第三方机构统计,用户信息泄露后的平均损失:
基础信息(姓名+手机号):327元/条(用于注册垃圾短信)
身份证+银行卡:8923元/套(用于网贷/洗钱)
人脸数据:12万元/套(用于AI换脸诈骗)
向钱贷用户实测案例:
粉丝小李:因通讯录泄露,被冒充熟人诈骗8万
粉丝老张:身份证复印件外流,名下多出3张信用卡
把App当“定时炸弹”:用完立刻锁屏,别留后台
警惕“优化体验”:新版常以“提升速度”为名,索取更多权限
相信“免费没好货”:那些送你红包的贷款App,100%在倒卖数据
最后送大家句话:在这个数据比钱还值钱的时代,保护隐私的最好方式,就是永远别让平台觉得你“有用”。 2025年了,该用技术对抗技术了!
有财网 版权所有 © 2014-2025 蜀ICP备2022021241号
违法和不良信息举报 举报电话: 举报邮箱:admin@qq.com
咨询TA
