如果你刚点了那种“爆料链接”,先停一下:这种“二维码海报”悄悄读取通讯录;一定要关掉这个权限
最近不少人反映:在朋友圈、社群或街头看到的那类“爆料二维码海报”、短链接,点进去后不仅是一个网页或视频,背后还可能在搜你的通讯录。形式各式各样——有人以“爆料”“内部消息”“免费领券”为噱头发的二维码,扫码后会引导你安装APP、打开深度链接或下载vCard,最终可能把联系人信息传给对方或被滥用。这里把原理、风险和可操作步骤讲清楚,帮你把权限关起来,也降低被骚扰和社工攻击的风险。
这些二维码是怎么做到“窃取通讯录”的
- 直接引导下载恶意应用:二维码含APK下载地址,安装后应用请求通讯录权限并上传联系人。
- 利用深度链接或Intent:二维码可触发已装应用的特定功能(如导入联系人),在用户不完全知情的情况下读取数据。
- 诱导用户手动导入:网页提示“为了帮你匹配爆料人物,请导入通讯录”,用户授权后把联系人导出成vCard并上传。
- 利用网页能力或漏洞:有的网页会诱导你使用“导入”按钮,触发浏览器或系统的联系人选择器,从而泄露联系人信息(虽有选择器保护,但存在社会工程诱导)。
- 短链接和重定向掩盖真实域名:看起来无害的短链接可能跳转到恶意域名或下载页。
为什么通讯录值钱
- 联系人包含姓名、手机、关系网络,能用于大规模骚扰、诈骗或社工攻击(冒充熟人更容易骗取信任)。
- 有时攻击者把联系人数据卖给广告或诈骗链条,带来后续长期骚扰。
- 如果联系人里有公司邮箱或重要人物,后果可能扩大为商业信息泄露。
扫码后的立即应对(如果你还在网页里或刚刚点进链接)
- 先别输入任何信息,也别授权任何弹窗请求“允许访问通讯录/上传联系人”。
- 关闭该网页或应用,断开可能的下载(浏览器下载栏或通知里可取消)。
- 如果网页提示自动下载了文件(如 .vcf、.apk),不要打开;安卓的apk不明来源安装必须拒绝并删除。
- 检查浏览器下载记录和应用安装记录,删除可疑文件与应用。
如何检查并关闭通讯录权限(分平台)
- Android(通用步骤,具体名称随厂商/系统版本略有不同)
- 设置 -> 隐私 -> 权限管理(或 设置 -> 应用与通知 -> 权限)。
- 找到“通讯录/联系人”权限,查看有哪些应用被允许访问。
- 对不认识或不需要访问通讯录的应用选择“拒绝”或移除权限。
- 对可疑应用直接卸载:设置 -> 应用 -> 选中应用 -> 卸载。
- 在设置里还能查“最近访问权限”的记录,看看有哪些应用在近期读取过通讯录。
- iPhone / iPad (iOS)
- 设置 -> 隐私(或“隐私与安全性”)-> 通讯录(Contacts)。
- 列表里可以看到哪些应用请求了通讯录访问,关闭不必要的开关。
- 如果发现可疑应用,长按卸载或在设置 -> 通用 -> iPhone 存储中删除。
- iOS 的联系人访问通常是按应用逐个授权,留意哪些应用有权限。
- 浏览器与网页访问
- 大多数浏览器不会默认给网页全面通讯录访问,但会弹出下载或“导入/选择联系人”的对话。不要盲目允许“导入通讯录”或下载并打开.vcf文件。
- 如果网页要求“安装APP以继续”,先去应用商店搜索官方应用而不是直接通过二维码安装。
如果你已经授权过(需要补救的步骤)
- 立即撤销该应用或浏览器的通讯录权限(按上面步骤)。
- 卸载可疑应用并删除通过网页下载的文件。
- 用手机安全软件或杀毒应用扫描(安卓)。
- 通知重要联系人提高警惕:说明可能收到冒充你的短信/电话/链接,别随意点击或回传验证码。
- 检查是否有异常短信、社交账号私信或骗取验证码的记录;如果有针对性账号风险,立即修改密码并开启双因素认证。
- 观察一段时间是否有大量陌生来电或短信(可能是数据被卖后引发的骚扰)。
扫码时的安全习惯(实用清单)
- 先看清链接:用相机扫码预览链接,或长按二维码识别显示的URL,再决定是否打开。
- 不通过二维码直接安装应用:去App Store或Google Play搜索官方应用名称并安装。
- 避免点“导入通讯录”类的网页按钮,如非非常信任的服务不要上传通讯录。
- 给应用尽可能少的权限:很多社交或工具类应用并不需要访问全部联系人就能使用主要功能。
- 使用可信的扫码工具或浏览器:部分扫码应用会显示重定向链路或拦截潜在危险链接。
- 对短链接保持警惕:先使用URL预览或短链解码服务查看最终目标域名。
如何判别一个二维码海报是否可疑(快速判断法)
- 文案过于耸动、带“爆料”“内部”“仅限今日”等词,诱导用户冲动扫码。
- 要求先下载APP或先“导入通讯录”才能看内容。
- 二维码指向未知或拼写奇怪的域名(例如多个连字符、错别字、免费域名拼接)。
- 二维码出现在不明场合且没有官方来源标识(没有公司logo、联系方式、免责说明等)。
结语 二维码确实方便,但也容易被当作社工和传播恶意代码的渠道。每次扫码前多看两眼、三思而后行,会把很多麻烦挡在门外。如果不确定来源,别慌着点“允许访问通讯录”;觉得被动授权过多,就花几分钟在设置里把权限收回,顺手把不常用的应用清理掉。安全就是日常的小习惯堆积起来的防线。
