IMEI是手机的唯一全球标识符(硬件元素),而IMSI是SIM卡的唯一全球标识符(因此它或多或少地映射到拥有它的人类用户)。见此页。两者都是在空中“原样”发送的,因此,任何带有天线并位于附近的攻击者都可以获得这两个信息。对某些用户的IMEI和/或IMSI的了解不会给出进入该用户通信的额外方法;它们不是秘密值。
然而..。
对于IMEI和IMSI,可能有些隐私问题,因为它们允许“跟踪”用户的习惯:
每次安装在手机上时,应用程序都可以生成一个随机的唯一标识符。但是,通过使用IMEI,应用程序可以判断它是否重新安装在给定的电话上;它还可以用于交叉引用已知已安装应用程序实例的表和通过从某个基站进行被动无线电监听获得的移动电话位置。当用户更换手机时,IMSI“跟随”他(他将他的SIM卡从旧手机转移到他的新手机)。我可以想象一个应用程序,它链接到服务器上的某个“帐户”;使用IMSI允许服务器在用户切换电话时更容易地自动“重新连接”应用程序。出于同样的原因,用户可能会觉得自己的隐私受到了侵犯,因为他们希望能够重新安装自己的应用程序和/或切换手机,以便“重新启动”一个无法连接到自己账户的独立账户。
在很大程度上,用户可以认为他们的IMSI相当于他们的电子邮件地址。自动将IMSI发送到服务器的应用程序与自动将用户电子邮件发送到远程服务器的软件应用程序一样是一个安全或隐私问题;许多人会对后者感到不舒服,这就回避了为什么要这样做的问题。
当然,如果应用程序做了一些愚蠢的事情,比如使用IMEI或IMSI作为身份验证令牌,例如一种访问远程服务器上数据的密码,那么学习IMEI或IMSI将打开对该数据的访问。但是当你把非机密数据当作秘密使用时,你就会得到这样的结果。
2025-10-22 19:46:26