这是一个创建于 763 天前的主题,其中的信息可能已经有所发展或是发生改变。
在 iOS 微信中编辑(打码)了一张图片并发送,编辑后的图片如下:
几秒后原图中的地址收到了 120.233.19.186 (广东移动)的访问,URL 是图中部分可见文字的拼接
{"time":1700801419.550,"host":"XXX:443","req":"GET /YYY/snapshotsMethodPOSTHeadersAuthorizati...Bearer","req_size":980,"ip":"120.233.19.186","ua":"Mozilla/5.0 (Linux; Android 13; M2007J1SC Build/TKQ1.221114.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/107.0.5304.141 Mobile Safari/537.36 XWEB/5127 MMWEBSDK/20230405 MMWEBID/1151 MicroMessenger/8.0.35.2360(0x2800235D) WeChat/arm64 Weixin NetType/WIFI Language/zh_CN ABI/arm64 qcloudcdn-xinan Request-Source=3 Request-Channel=99","status":404,"resp_time":0.000,"resp_size":1482,"protocol":"HTTP/1.1","tls":"TLSv1.3"} 第 1 条附言 2023-11-28 16:41:29 +08:00
DNSlog 复现成功,但似乎没有 log4j 漏洞
43.136.129.249, 220.196.152.109, 101.35.153.118, 81.71.98.69, 183.36.24.8, 106.52.173.110, 106.52.173.28, 106.52.173.28, 81.71.98.134
第 2 条附言 2023-11-28 20:17:21 +08:00
138 条回复 2023-12-24 01:02:25 +08:00
 | 1 Lin0936 2023-11-28 15:57:14 +08:00  6 这个“Authorizati...Bearer”真是绝了 |
 | 2 freshgoose 2023-11-28 16:00:25 +08:00 牛皮啊 |
 | 3 NoOneNoBody 2023-11-28 16:02:50 +08:00 23 我是默认它应用内全部,应用外部分,只要“力所能及”,通通上传 |
 | 4 AoEiuV020JP 2023-11-28 16:06:53 +08:00 2 厉害了,已经不能算是巧合了,就是手段太粗暴了, |
 | 5 Atsushi 2023-11-28 16:07:37 +08:00 via iPhone 狠 幸好我几乎不用 |
 | 6 ishamo 2023-11-28 16:22:42 +08:00 1 微信里面发的链接也会收到微信对该链接的请求,一般是零晨 1 到 3 点 |
 | 7 windrun 2023-11-28 17:19:40 +08:00 1 打码了还审查原图,太粗暴了 |
 | 8 qinfengge 2023-11-28 17:24:58 +08:00 毫不意外 |
 | 9 Foxxoccino 2023-11-28 17:25:04 +08:00 via iPhone 19 @ishamo 同样有体会,1Password 分享密码的链接设置了只能被查看一次,用微信发出去之后接收方点开已经看不到了。 |
 | 10 uNoBrain 2023-11-28 17:27:30 +08:00 via Android @fluffyfoxxo 那个是链接的预览功能吧?当然认为是审查也可以,因为没人知道他在后面做什么 |
| 11 Foxxoccino 2023-11-28 17:33:21 +08:00 via iPhone @Goooooos 微信没有链接预览吧,而且刚刚测试了下 Telegram 和 Discord 的链接预览都不会导致消耗掉查看次数 |
 | 12 jjxtrotter 2023-11-28 17:40:34 +08:00 via iPhone 2 有没有人试试 WeChat (海外版)是否有这个“功能”,洋大人的待遇和我们是一样的吗 |
 | 13 googlefans 2023-11-28 17:59:43 +08:00 3 早有预感 没想到今天被你抓到了 |
 | 14 x1aomiao 2023-11-28 18:04:16 +08:00 6 让我们猜一下这条会不会进水深火热 |
 | 15 shiao56 2023-11-28 18:20:53 +08:00 1 嗯,以后打码图片的活交给 dama ,就不劳烦小而美操心了 |
 | 16 Shorekeeper 2023-11-28 18:24:32 +08:00 具体行为是单纯的 GET ,还是容器内用浏览器访问? |
 | 17 fan88 2023-11-28 18:25:18 +08:00 18:24 实测,截图一个链接。 查看 Nginx 上服务器的访问内容,是没有任何新增访问记录的。 不知道什么原因。 |
 | 18 xuepoland 2023-11-28 18:25:35 +08:00 无时无刻的看着你 |
 | 19 followNew 2023-11-28 18:34:05 +08:00 4 麻花藤把用户的一切信息都收集起来,加工分析,然后卖钱。 电诈的把用户的一切信息都收集起来,加工分析,然后骗钱。 |
 | 20 weiruik 2023-11-28 18:48:16 +08:00 iOS iPadOS 均能复现,但是 Mac 端似乎没有,可能是因为截图工具使用的是开源组件的原因 |
| 21 Shorekeeper 2023-11-28 18:53:06 +08:00 Android 端未复现,没有收到请求,没有 Cloudflare 防火墙事件。 |
 | 22 irainsoft 2023-11-28 18:57:56 +08:00 via Android 1 楼上说的 1password 单次分享密码链接被提前点开的问题我也遇到过... 真的不能用 |
 | 23 Marionic0723 2023-11-28 19:02:40 +08:00 2 |
 | 24 jianchang512 2023-11-28 19:06:17 +08:00 via Android 6 你没做亏心事怕啥审核的 对国家要啥隐私,是不是五十万(保命) |
 | 25 kevenli 2023-11-28 19:18:10 +08:00 2 楼主放出来的这些 IP 全都是腾讯的机房 看来确实是微信服务端的操作了 |
| 26 fan88 2023-11-28 19:28:01 +08:00 iphone, win PC . 复现失败。 是否是因为域名已经备案的原因? |
| 27 jianchang512 2023-11-28 19:29:33 +08:00 via Android 107 真担心明天会在这里看到你的认错道歉辟谣贴 |
 | 28 renmu 2023-11-28 19:32:11 +08:00 via Android 是微信 ocr 了原图然后找到其中的链接并进行访问? |
 | 29 bigbyto 2023-11-28 19:37:24 +08:00 8 这个事最恐怖的还不是审查图片,是它自己去访问了图片中的链接。它们的审查到底做到了什么地步? |
 | 30 kaitok 2023-11-28 19:42:56 +08:00 19:40 尝试通过 DNS LOG 没有复现成功 |
 | 31 MoeWang 2023-11-28 19:43:47 +08:00 遇到过,有时候来源 UA 是 MacOS 的 |
| 32 fan88 2023-11-28 19:44:06 +08:00 2 关键点是编辑,编辑发送图片复现成功。 |
| 33 kaitok 2023-11-28 19:48:00 +08:00 1 @kaitok 补充,我的账号是 WeChat ,截图内容是 dnslogs[dot]online 的网址,非常大和醒目 我编辑打码,然后发给朋友(非 WeChat ),朋友再编辑打码发送给我,都没有看到请求记录 |
 | 34 Dreax OP @renmu 是的,微信会对发送的图片进行 OCR 审查敏感文字和会对发送的链接进行访问审查这两者都并不是秘密,但这是第一次发现这两者的结合。而且是对编辑前的原图进行 OCR ,不过目前不知道是在本地还是上传后进行的(这需要有微信抓包经验的网友验证一下)。 |
| 37 Dreax OP @SunsetShimmer 是在微信内编辑后发送吗?以及是否是 WeChat 、是否有备案? |
| 38 Shorekeeper 2023-11-28 19:56:48 +08:00 @Dreax #37 加号-相册-选择图片-编辑-马赛克-完成-发送。不是 WeChat ,无备案。 |
 | 39 xyui 2023-11-28 19:56:53 +08:00 按照描述,编辑进行简单涂鸦,和打码均未能复现 |
| 40 kaitok 2023-11-28 20:05:56 +08:00 |
 | 41 alsotang 2023-11-28 20:06:50 +08:00 识别原图中的 url 然后去访问?这活儿有点细啊。 |
 | 42 pushy 2023-11-28 20:16:49 +08:00 2 iOS 复现成功,太恐怖了 |
 | 43 dm87497 2023-11-28 20:32:41 +08:00 via Android 有没有类似 sendsecure.ly 这样的网站,支持发送图片的。 |
| 44 Shorekeeper 2023-11-28 20:45:52 +08:00 @fluffyfoxxo #11 不会消耗查看次数可能是因为服务器端根据 UA 对 Telegram 和 Discord 的 Bot 做了排除? |
 | 45 Nile20 2023-11-28 20:58:04 +08:00 2 我靠,你这链接都换行了,他们还特地做了这样的识别?另,希望不要看到你的辟谣道歉帖……后面类似的大佬还是搞个新号发吧~ |
 | 46 Persimmon08 2023-11-28 21:05:40 +08:00 如果发送的是二维码图片,二维码图片对应一个链接或者是一些字符串,这些链接或者字符串中的关键字会不会被审查或访问 |
 | 47 n2l 2023-11-28 21:10:08 +08:00 via iPhone 我把 sever 酱的链接,贴在了图片上,发给自己,也发给别人,暂未收到点击。 |
 | 48 elboble 2023-11-28 21:15:49 +08:00 1 专门做一张图片,放 1000 个网址,然后大家互传个一天,是不是腾讯会累死。 |
 | 51 est 2023-11-28 21:47:26 +08:00 @kevenli @jianchang512 @bigbyto @Dreax @pushy 据说,南山有腾讯调证处,里面有 wechat <-> 微信的解密流量镜像。 如果这个说法是真的,那么这个请求不一定是腾讯发出的。很可能是第三方强权机构或者其承包商发出的。 |
 | 52 docx 2023-11-28 21:55:08 +08:00 via Android 1 只知道链接会,之前看谁(好像也是 V2 )说有个只能访问一次的链接,发到微信之后打开就失效了。 没找到图片还能 OCR 出网址去访问,审查的算力真是疯狂啊…… |
 | 53 dontLookAvatar 2023-11-28 22:01:57 +08:00 不知道发给文件助手, 然后再编辑会不会? 时常把一些向日葵和不太重要的账号密码发到文件助手用来备份... |
 | 54 EdwardWong 2023-11-28 22:02:06 +08:00  1 User-Agent 里有 qcloudcdn-xinan ,其并没有出现在手机微信的客户端中 微信开放社区里有相关问题,可靠性不确定 ( http://archive.today/Tqzhi ) : https://developers.weixin.qq.com/community/develop/doc/000c0074240058e7bb4fbb0c456000 |
 | 55 kxxoling 2023-11-28 22:03:15 +08:00 除了微信,别的软件/网站有吗? |
 | 56 ytmsdy 2023-11-28 22:29:59 +08:00 @Dreax 我觉得应该是本地先 OCR 识别以后,再把文字上传扫描。本地 OCR 可以借助手机的算力来处理,一方面节约算力,另外一方面节约带宽。 |
| 57 ytmsdy 2023-11-28 22:30:52 +08:00 @Nile20 https://twitter.com/Yura8964/status/1729437621636718611 有人发出来了,我就是从 X 上过来的。 |
 | 58 OutOfMemoryError 2023-11-28 22:31:49 +08:00 @fan88 #17 试试看二维码? |
 | 59 do749533JmKlOC46 2023-11-28 22:43:43 +08:00 9 早就知道微信发送的每张图片都会 OCR 审查上面的文字,没想到还会访问图片上的 URL 来做审查。 我猜微信很可能已经收集了全国人民的声纹信息....细思极恐 我想知道,微信是否会(至少是对部分人群)直接做语音转文字然后审查每一条语音信息的内容。 以及是否会通过语音转文字来审查微信语音和视频通话。 |
 | 60 Thexz 2023-11-28 22:57:03 +08:00 所以在相册里面编辑打码,然后截屏保存,发送截图 |
 | 61 kingfly 2023-11-2823:08:19 +08:00 via Android 不细思也极恐 |
 | 62 wtdd 2023-11-28 23:22:24 +08:00 1 明白了,桌面版微信当 OCR 使用也会上传的,哈哈,唯有远离了 |
 | 63 morax0xyc 2023-11-28 23:25:58 +08:00 via iPhone 没复现出来,这是随机抽样的? |
 | 64 sunrisewestern 2023-11-28 23:50:47 +08:00 @jjxtrotter #12 你想多了,微信海外用户基本没有洋大人,都是海外华人 |
 | 65 SZP1206 2023-11-28 23:57:03 +08:00 @Persimmon08 我记得是会的。 |
 | 66 Ericcccccccc 2023-11-28 23:58:15 +08:00 为啥楼上说恐怖, 这不是常规操作吗...每天活在恐怖片里? 你用微信难道以为在上面传播的图片不会经过审查? |
 | 67 ZE3kr 2023-11-29 00:00:05 +08:00 图片里有 URL 二维码是不是也是等价的 |
| 68 Persimmon08 2023-11-29 00:07:19 +08:00 所以,在中国现行法律框架下,微信这样搞是否侵犯隐私且违法? |
 | 69 SenLief 2023-11-29 00:07:22 +08:00 via iPhone 微信会对每张图片 ocr ,这是审查的基本要求,只不过微信更严而已,链接和 url 是重灾区,之前有看到过大致起源于当时有人用文字转图片。 |
 | 70 Arenxk194 2023-11-29 00:18:15 +08:00 via Android Wx 还会对未发送的图片进行缓存,不清楚是不是发送到了服务器。打开微信图片对话框,这时切换其他图片编辑器进行编辑,保存并覆盖原图(此时图片已修改),返回 wx,发送发送图片,会发现时光倒流了,源文件被修改但 wx 发送的还是未修改的图,即使重启 wx,对其他用户发送,依然是未修改的图,一年测试的,不清楚它会缓存本机多少图,多长时间,v 油可以测试一下,现在改了没有 @Thexz ,由于这个原因,你在你在相册里编辑也没有啊反正自己缓存了原图 |
 | 71 Wataru 2023-11-29 00:27:58 +08:00 @jjxtrotter #12 都是同一款 app ,我海外号登录就是微信变成 wechat ,没别的区别了感觉 |
 | 72 Alex1111 2023-11-29 00:48:21 +08:00 @Ericcccccccc 感觉最重要的点是,它会上传审查你未发送的原图。 也就意味着未经许可上传用户未发送的图片。 |
 | 73 lyc8503 2023-11-29 00:58:34 +08:00 2 刚去测试了下 QQ TIM 安卓客户端,会对发送的图片中包含的链接主动请求,来源 IP 120.233.19.208 ,但如果打码发送不会对原图审查 |
| 74 Ericcccccccc 2023-11-29 01:01:22 +08:00 |
| 75 lyc8503 2023-11-29 01:05:39 +08:00 |
| 76 Alex1111 2023-11-29 01:10:36 +08:00 via iPhone @Ericcccccccc 用的 iOS |
 | 77 S179276SP 2023-11-29 01:23:22 +08:00 @Persimmon08 只要是国家默许搞的, 就不算是违法. |
 | 78 jinliming2 2023-11-29 01:23:25 +08:00 @Ericcccccccc #66 可是这个不是审查“在上面传播的图片”啊,图片是在本地编辑处理的,在上面传播的是处理后的图片,而受到审查的是本地本应该不联网的原图。 就算是老美搞的棱镜门,也都还只是审查上传到服务器的数据吧? |
 | 79 lemonJ 2023-11-29 01:27:09 +08:00 9 @Persimmon08 在中国现行法律框架下,你是不可能知道微信在这样搞的. 如果你通过某种途径知道了微信在这样搞,包括但不限于通过某些方式去测试微信有没有这样搞,你已经违法了 |
| 80 jinliming2 2023-11-29 01:29:53 +08:00 @Nile20 #45 emmmmm ,大部分 OCR 都支持换行识别拼接成完成内容的吧? |
 | 81 j717273419 2023-11-29 01:37:44 +08:00 via iPhone 5 蹲一个删帖辟谣加道歉 |
 | 82 mikewang 2023-11-29 01:46:49 +08:00 1 @j717273419 这时就能体现出 v 站的好处了:并不能删帖 |
 | 83 遥遥领先 |
 | 84 akilawu 2023-11-29 06:15:50 +08:00 1 哈人,还好我一直用的 dama ,而且限制了微信对相册的访问,要传啥才给微信看啥。还是果子好啊,源头上杜绝小马哥偷看我裸照(不是)。 听说有一些安卓机也能做了,但是希望能有越来越多安卓厂商跟进,不要让大家天天裸奔(至少心理上好受点) |
 | 85 lyz1990 2023-11-29 07:08:09 +08:00 via iPhone 6 蹲一个道歉贴:“在叔叔的耐心指导下终于搞明白一切都是误会” |
 | 86 fpk5 2023-11-29 07:33:37 +08:00 海外 IP wechat 未复现 |
 | 87 smlcgx 2023-11-29 07:59:33 +08:00 via iPhone 1 我支持微信,你们可以打我了(狗头) |
 | 88 cl1ff 2023-11-29 08:06:29 +08:00 这种发在私聊或者群聊都一样被严控的吗 |
 | 89 Xmi080225 2023-11-29 08:20:21 +08:00 @cl1ff 前两天还看到那个北京打拳的东哥说微信私聊不会监控 群聊是肯定会监控的,还说是 TX 内部人员消息,看来不可靠 |
 | 90 ajyz 2023-11-29 08:21:27 +08:00 via iPhone @jjxtrotter 问这问题就是多余的,一个 CallKit 都能精准控制,这些东西即便在也不是简单不同地区客户端上做区别。要问也顶多问下海外用户是否能复现 |
 | 92 WildDonkey 2023-11-29 08:26:12 +08:00 via Android 这个 URL 早就这样了,我有一个计数器连接,发到微信就发现被访问了,因为数据不同步了。基本透明。 |
 | 93 mazk 2023-11-29 08:28:39 +08:00 via Android 有些人还没看明白,本帖重点是微信审查*未上传*的图片啊,这很可怕诶 |
 | 94 pianjiao 2023-11-29 08:28:43 +08:00 via Android 马上快进到自动删你手机的敏感图片 |
 | 95 villivateur 2023-11-29 08:31:12 +08:00 我昨天晚上没复现出来,会不会跟账号“信用等级”有关 |
 | 96 cat9life 2023-11-29 08:37:21 +08:00 插眼关注,这样收集信息的效率倍增,直接看你打码的信息就好 |
 | 97 hauibojek 2023-11-29 08:37:57 +08:00 相册这种,只要你给了访问权限,不管你传没传都默认图片被应用获取就行了。 |
 | 98 liuidetmks 2023-11-29 09:02:10 +08:00 “不做亏心事,不怕鬼敲门” (战术后仰 |
 | 99 Steaven 2023-11-29 09:07:18 +08:00 我们之前做社交的,在微博流或者 IM 应用里用户发的图片链接、网址,我们后台都会去请求一下,把数据抓回来做一个富文本处理。 |
Select Language