知乎“分享”功能可能正危及你的隐私

2018-04-28 17:51:23 +08:00

orzfly

原文： https://zhuanlan.zhihu.com/p/36235128

概述：在知乎最新 Android 版本 5.15.1(658) 下，若你使用「分享到 QQ 」功能分享任意知乎站内链接到任意 QQ 接收者，你可能正在泄漏自己的知乎帐号到 QQ 平台。分享链接中，utm_member 字段经过 base64 解码后的 hex 字符串是用户的唯一识别码。通过这个识别码，可以直接打开用户资料页，从而知晓这个分享链接是哪位用户发送的。

如果你不太明白这有什么问题，或是不明白这是什么意思，请看原文的说明与分析。

8631 次点击

所在节点

全球工单系统

30 条回复

orangeade

2018-04-28 17:54:01 +08:00

啧啧，之前加 utm source utm media 就知道迟早要这么干

sobigfish

2018-04-28 18:22:24 +08:00

想起过年时的银联云闪付 app 更是直接一堆人暴露手机号不是更恐怖

airyland

2018-04-28 18:59:48 +08:00

貌似 [即刻] 也是，分享到 QQ 时观察过 URL 格式，貌似连 base64 都不做了，下面的 userid 在 web 版验证过确认是用户 id。

https://m.okjike.com/officialMessages/{{messageid}}?username={{userid}}&utm_source=qq

点击后会跳转到无参数地址，但是已经直接泄露了。

billlee

2018-04-28 20:27:48 +08:00

我一般都是选择分享到 chrome, 然后复制链接到目标应用里面再分享的

caijunyi

2018-04-28 22:14:34 +08:00

知乎变味了！！！
越来越商业化了！

flowfire

2018-04-28 22:22:16 +08:00

卸载好几个月了

logOo

2018-04-28 22:26:00 +08:00

日常要完

maxlino

2018-04-29 01:33:38 +08:00

似乎网易云也是

ctsed

2018-04-29 01:59:01 +08:00

@airyland #3 #3 页面上显示的是 xxx 给你分享了 xxx，xxx 关注了 xxx

580a388da131

2018-04-29 03:35:31 +08:00

强迫症每次分享链接都要清理到最干净
淘宝商品链接要清理掉除 id 以外的所有参数
一直以为我没救了原来还能拯救我的隐私。。。

gobomb

2018-04-29 04:23:35 +08:00

网易云音乐和 qq 音乐也是

des

2018-04-29 07:12:56 +08:00

@580a388da131 算我一个，强迫症

honeycomb

2018-04-29 08:38:35 +08:00

这种就是链接之后的小尾巴，如果有人在 V2 发带小尾巴的链接而不作说明请及时指出

justfun

2018-04-29 08:59:12 +08:00

跨平台追踪

iwtbauh

2018-04-29 09:26:04 +08:00

所以，我们就可以随意伪造这个字段把锅扣别人头上喽，别人也可以随意伪造这个字段把锅扣我头上喽

artoostark

2018-04-29 09:47:23 +08:00

那我伪造成周源的。

daocao

2018-04-29 09:57:44 +08:00

@artoostark 系统发现这是周圆分享的链接。立即提高了网页打开速度[手动 dog ～]

banricho

2018-04-29 10:15:08 +08:00

网易云 QQ 虾米一律如此

michaelzs

2018-04-29 10:51:09 +08:00

https://h.xiami.com/song.html?id=1773920807&f=&from=timeline&disabled=&_uxid=68B45F982D96A09F9DC6BAD02685C354 求解释虾米怎么看到分享账户是谁

HannibaI

2018-04-29 11:29:27 +08:00

感谢 V2EX，找到了女神的网易云账号

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/450737

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.