我差点把手机交出去:越是标榜“免费”的这种“二维码海报”,越可能悄悄读取通讯录
那天在地铁口看到一张醒目的海报——“扫码免费领取礼品”。我本能地拿出手机,框对了二维码,手机屏幕立刻弹出一个页面,要求我“授权访问联系人以便为你匹配推荐”。差点没把手机递给工作人员。回到家仔细一查,才发现这类看似“免费”的二维码海报,往往是信息安全和隐私泄露的陷阱。
这些二维码到底怎么偷联系人?
- 二维码并不只是链接到图片或优惠券。它可以编码为URL、vCard、tel:链接,或直接指向一个需要安装的应用程序包(APK)。不良页面可能诱导你下载安装一款“领券工具”,而该应用在安装时请求READ_CONTACTS/访问联系人权限。
- 某些扫描器或页面会把二维码内的vCard直接作为联系人导入,如果扫描器设置为“自动保存”,你的通讯录会悄然增加条目或把信息上传到对方服务器。
- 通过社工手段(例如“免费礼品”),用户更容易放开警惕,连带允许网页的权限请求或点击下载,从而被动暴露联系人、通话记录等敏感数据。
- 浏览器的Contact Picker API在部分平台可被调用,虽有用户交互限制,但结合诱导操作也可能被滥用。
常见场景举例
- 商场、地铁口、招聘会:提供“扫码登记,免费领取”。
- 餐厅、便利店:扫码领优惠券,页面要求授权通讯录以便“发送好友邀请”。
- 街头促销人员:现场扫码由工作人员代操作,用户将手机直接交给对方。
遇到可疑二维码,如何保护自己(实操清单)
- 先看预览:用手机自带相机扫描,观察下方显示的URL或二维码内容,切勿立即打开或安装。不要轻易把手机递给陌生人操作。
- 留心域名和HTTPS:优先访问以https://开头、并且域名与你所期待的品牌一致的链接。长串重定向或短链接不明的要格外小心。
- 拒绝自动导入:扫码后若提示“导入联系人”或直接弹出联系人页面,选择取消并检查扫描器设置,避免自动保存。
- 安装应用只进官方商店:绝不从网页直接安装APK。仅通过Google Play或App Store安装,并查看评论与权限请求。
- 严控权限:对任何非必要的应用拒绝“通讯录/联系人”权限。Android可在安装后通过权限管理改为“仅一次”或拒绝;iOS可在设置里逐个管理。
- 使用可信扫码工具:一些扫描App只显示内容而不自动访问网络或导入联系人,优先选择口碑好的工具或只用系统相机。
- 先拍照后检验:拍下二维码图片,在电脑或可信设备上用安全工具先解析,再决定是否访问。
- 备份通讯录:定期导出或使用云端备份,一旦发现异常可以恢复。
- 若已授权,立即处理:进入系统权限设置撤销联系人访问;卸载可疑App;查看是否有异常流量或新联系人被添加;必要时告知亲友留意可疑短信或电话。
如果联系人已经被获取,该怎么应对?
- 先撤销权限并卸载相关App,删除任何莫名其妙新增的联系人条目。
- 更改重要账号密码,尤其是与手机号码或邮箱关联的账号。
- 向亲友告知可能的信息泄露,警惕冒充短信、钓鱼电话。
- 如发现恶意传播,可向平台(Play Store/App Store)或相关监管部门举报,并考虑恢复到上一次可信备份。
给商家和活动组织方的小建议
- 若真想用二维码做营销,清楚标注所需权限和用途,放置隐私政策链接并使用HTTPS托管页面。
- 尽量避免要求顾客授予通讯录访问,改用短信验证码、邮件或手动输入的方式收集联系方式。
- 使用信誉良好的第三方平台生成并托管二维码,减少被篡改或替换的风险。
扫码方便,但别把手机的隐私也“免费”送人。遇到标榜“免费领取”“扫码授权”的场景,放慢一步,多看两眼,往往就能避免那一刻的冲动变成长期麻烦。觉得这篇有用就分享给身边经常扫码的朋友们,让大家少走弯路。
