在 iOS 微信中编辑(打码)了一张图片并发送,编辑后的图片如下:
几秒后原图中的地址收到了 120.233.19.186 (广东移动)的访问,URL 是图中部分可见文字的拼接
{"time":1700801419.550,"host":"XXX:443","req":"GET /YYY/snapshotsMethodPOSTHeadersAuthorizati...Bearer","req_size":980,"ip":"120.233.19.186","ua":"Mozilla/5.0 (Linux; Android 13; M2007J1SC Build/TKQ1.221114.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/107.0.5304.141 Mobile Safari/537.36 XWEB/5127 MMWEBSDK/20230405 MMWEBID/1151 MicroMessenger/8.0.35.2360(0x2800235D) WeChat/arm64 Weixin NetType/WIFI Language/zh_CN ABI/arm64 qcloudcdn-xinan Request-Source=3 Request-Channel=99","status":404,"resp_time":0.000,"resp_size":1482,"protocol":"HTTP/1.1","tls":"TLSv1.3"}
DNSlog 复现成功,但似乎没有 log4j 漏洞
43.136.129.249, 220.196.152.109, 101.35.153.118, 81.71.98.69, 183.36.24.8, 106.52.173.110, 106.52.173.28, 106.52.173.28, 81.71.98.134
1
Lin0936 360 天前 5
这个“Authorizati...Bearer”真是绝了
|
2
freshgoose 360 天前
牛皮啊
|
3
NoOneNoBody 360 天前 22
我是默认它应用内全部,应用外部分,只要“力所能及”,通通上传
|
4
AoEiuV020JP 360 天前 2
厉害了,已经不能算是巧合了,就是手段太粗暴了,
|
5
Atsushi 360 天前 via iPhone
狠 幸好我几乎不用
|
6
ishamo 360 天前 1
微信里面发的链接也会收到微信对该链接的请求,一般是零晨 1 到 3 点
|
7
windrun 360 天前 1
打码了还审查原图,太粗暴了
|
8
qinfengge 360 天前
毫不意外
|
9
fluffyfoxxo 360 天前 via iPhone 19
@ishamo 同样有体会,1Password 分享密码的链接设置了只能被查看一次,用微信发出去之后接收方点开已经看不到了。
|
10
Goooooos 360 天前 via Android
@fluffyfoxxo 那个是链接的预览功能吧?当然认为是审查也可以,因为没人知道他在后面做什么
|
11
fluffyfoxxo 360 天前 via iPhone
@Goooooos 微信没有链接预览吧,而且刚刚测试了下 Telegram 和 Discord 的链接预览都不会导致消耗掉查看次数
|
12
jjxtrotter 360 天前 via iPhone 2
有没有人试试 WeChat (海外版)是否有这个“功能”,洋大人的待遇和我们是一样的吗
|
13
googlefans 360 天前 3
早有预感
没想到今天被你抓到了 |
14
x1aomiao 360 天前 6
让我们猜一下这条会不会进水深火热
|
15
shiao56 360 天前
嗯,以后打码图片的活交给 dama ,就不劳烦小而美操心了
|
16
SunsetShimmer 360 天前
具体行为是单纯的 GET ,还是容器内用浏览器访问?
|
17
fan88 360 天前
18:24 实测,截图一个链接。
查看 Nginx 上服务器的访问内容,是没有任何新增访问记录的。 不知道什么原因。 |
18
xuepoland 360 天前
无时无刻的看着你
|
19
followNew 360 天前 4
麻花藤把用户的一切信息都收集起来,加工分析,然后卖钱。
电诈的把用户的一切信息都收集起来,加工分析,然后骗钱。 |
20
weiruik 360 天前
iOS iPadOS 均能复现,但是 Mac 端似乎没有,可能是因为截图工具使用的是开源组件的原因
|
21
SunsetShimmer 360 天前
Android 端未复现,没有收到请求,没有 Cloudflare 防火墙事件。
|
22
irainsoft 360 天前 via Android 1
楼上说的 1password 单次分享密码链接被提前点开的问题我也遇到过... 真的不能用
|
23
Marionic0723 360 天前 2
|
24
jianchang512 360 天前 via Android 6
你没做亏心事怕啥审核的
对国家要啥隐私,是不是五十万(🐵保命) |
25
kevenli 360 天前 2
楼主放出来的这些 IP 全都是腾讯的机房 看来确实是微信服务端的操作了
|
26
fan88 360 天前
iphone, win PC . 复现失败。
是否是因为域名已经备案的原因? |
27
jianchang512 360 天前 via Android 106
真担心明天会在这里看到你的认错道歉辟谣贴
|
28
renmu 360 天前 via Android
是微信 ocr 了原图然后找到其中的链接并进行访问?
|
29
bigbyto 360 天前 8
这个事最恐怖的还不是审查图片,是它自己去访问了图片中的链接。它们的审查到底做到了什么地步?
|
30
kaitok 360 天前
19:40 尝试通过 DNS LOG 没有复现成功
|
31
MoeWang 360 天前
遇到过,有时候来源 UA 是 MacOS 的
|
32
fan88 360 天前 2
关键点是编辑,编辑发送图片复现成功。
|
33
kaitok 360 天前 1
@kaitok 补充,我的账号是 WeChat ,截图内容是 dnslogs[dot]online 的网址,非常大和醒目
我编辑打码,然后发给朋友(非 WeChat ),朋友再编辑打码发送给我,都没有看到请求记录 |
34
Dreax OP @renmu 是的,微信会对发送的图片进行 OCR 审查敏感文字和会对发送的链接进行访问审查这两者都并不是秘密,但这是第一次发现这两者的结合。而且是对编辑前的原图进行 OCR ,不过目前不知道是在本地还是上传后进行的(这需要有微信抓包经验的网友验证一下)。
|
37
Dreax OP @SunsetShimmer 是在微信内编辑后发送吗?以及是否是 WeChat 、是否有备案?
|
38
SunsetShimmer 360 天前
@Dreax #37 加号-相册-选择图片-编辑-马赛克-完成-发送。不是 WeChat ,无备案。
|
39
xyui 360 天前
按照描述,编辑进行简单涂鸦,和打码均未能复现
|
40
kaitok 360 天前
|
41
alsotang 360 天前
识别原图中的 url 然后去访问?这活儿有点细啊。
|
42
pushy 360 天前 2
iOS 复现成功,太恐怖了
|
43
dm87497 360 天前 via Android
有没有类似 sendsecure.ly 这样的网站,支持发送图片的。
|
44
SunsetShimmer 360 天前
@fluffyfoxxo #11 不会消耗查看次数可能是因为服务器端根据 UA 对 Telegram 和 Discord 的 Bot 做了排除?
|
45
Nile20 360 天前 2
我靠,你这链接都换行了,他们还特地做了这样的识别?另,希望不要看到你的辟谣道歉帖……后面类似的大佬还是搞个新号发吧~
|
46
Persimmon08 360 天前
如果发送的是二维码图片,二维码图片对应一个链接或者是一些字符串,这些链接或者字符串中的关键字会不会被审查或访问
|
47
n2l 360 天前 via iPhone
我把 sever 酱的链接,贴在了图片上,发给自己,也发给别人,暂未收到点击。
|
48
elboble 360 天前 1
专门做一张图片,放 1000 个网址,然后大家互传个一天,是不是腾讯会累死。
|
51
est 360 天前
@kevenli
@jianchang512 @bigbyto @Dreax @pushy 据说,南山🚔有腾讯调证处,里面有 wechat <-> 微信的解密流量镜像。 如果这个说法是真的,那么这个请求不一定是腾讯发出的。很可能是第三方强权机构或者其承包商发出的。 |
52
docx 360 天前 via Android 1
只知道链接会,之前看谁(好像也是 V2 )说有个只能访问一次的链接,发到微信之后打开就失效了。
没找到图片还能 OCR 出网址去访问,审查的算力真是疯狂啊…… |
53
dontLookAvatar 360 天前
不知道发给文件助手, 然后再编辑会不会? 时常把一些向日葵和不太重要的账号密码发到文件助手用来备份...
|
54
EdwardWong 360 天前 1
User-Agent 里有 qcloudcdn-xinan ,其并没有出现在手机微信的客户端中
微信开放社区里有相关问题,可靠性不确定 ( http://archive.today/Tqzhi ) : https://developers.weixin.qq.com/community/develop/doc/000c0074240058e7bb4fbb0c456000 |
55
kxxoling 360 天前
除了微信,别的软件/网站有吗?
|
57
ytmsdy 360 天前
@Nile20 https://twitter.com/Yura8964/status/1729437621636718611 有人发出来了,我就是从 X 上过来的。
|
58
OutOfMemoryError 360 天前
@fan88 #17 试试看二维码?
|
59
NDHT 360 天前 9
早就知道微信发送的每张图片都会 OCR 审查上面的文字,没想到还会访问图片上的 URL 来做审查。
我猜微信很可能已经收集了全国人民的声纹信息....细思极恐 我想知道,微信是否会(至少是对部分人群)直接做语音转文字然后审查每一条语音信息的内容。 以及是否会通过语音转文字来审查微信语音和视频通话。 |
60
Thexz 360 天前
所以在相册里面编辑打码,然后截屏保存,发送截图
|
61
kingfly 360 天前 via Android
不细思也极恐
|
62
wtdd 360 天前 1
明白了,桌面版微信当 OCR 使用也会上传的,哈哈,唯有远离了
|
63
morax0xyc 360 天前 via iPhone
没复现出来,这是随机抽样的?
|
64
sunrisewestern 360 天前
@jjxtrotter #12 你想多了,微信海外用户基本没有洋大人,都是海外华人
|
65
SZP1206 360 天前
@Persimmon08 我记得是会的。
|
66
Ericcccccccc 360 天前
为啥楼上说恐怖, 这不是常规操作吗...每天活在恐怖片里?
你用微信难道以为在上面传播的图片不会经过审查? |
67
ZE3kr 360 天前
图片里有 URL 二维码是不是也是等价的
|
68
Persimmon08 360 天前
所以,在中国现行法律框架下,微信这样搞是否侵犯隐私且违法?
|
69
SenLief 360 天前 via iPhone
微信会对每张图片 ocr ,这是审查的基本要求,只不过微信更严而已,链接和 url 是重灾区,之前有看到过大致起源于当时有人用文字转图片。
|
70
Arenxk194 360 天前 via Android
Wx 还会对未发送的图片进行缓存,不清楚是不是发送到了服务器。打开微信图片对话框,这时切换其他图片编辑器进行编辑,保存并覆盖原图(此时图片已修改),返回 wx,发送发送图片,会发现时光倒流了,源文件被修改但 wx 发送的还是未修改的图,即使重启 wx,对其他用户发送,依然是未修改的图,一年💰测试的,不清楚它会缓存本机多少图,多长时间,v 油可以测试一下,现在改了没有
@Thexz ,由于这个原因,你在你在相册里编辑也没有啊😯反正自己缓存了原图 |
71
Wataru 360 天前
@jjxtrotter #12 都是同一款 app ,我海外号登录就是微信变成 wechat ,没别的区别了感觉
|
72
Alex1111 360 天前
@Ericcccccccc 感觉最重要的点是,它会上传审查你未发送的原图。
也就意味着未经许可上传用户未发送的图片。 |
73
lyc8503 360 天前 2
刚去测试了下 QQ TIM 安卓客户端,会对发送的图片中包含的链接主动请求,来源 IP 120.233.19.208 ,但如果打码发送不会对原图审查
|
74
Ericcccccccc 360 天前
|
75
lyc8503 360 天前
|
76
Alex1111 360 天前 via iPhone
@Ericcccccccc 用的 iOS
|
77
S179276SP 360 天前
@Persimmon08 只要是国家默许搞的, 就不算是违法.
|
78
jinliming2 360 天前
@Ericcccccccc #66 可是这个不是审查“在上面传播的图片”啊,图片是在本地编辑处理的,在上面传播的是处理后的图片,而受到审查的是本地本应该不联网的原图。
就算是老美搞的棱镜门,也都还只是审查上传到服务器的数据吧? |
79
lemonJ 360 天前 9
@Persimmon08 在中国现行法律框架下,你是不可能知道微信在这样搞的. 如果你通过某种途径知道了微信在这样搞,包括但不限于通过某些方式去测试微信有没有这样搞,你已经违法了
|
80
jinliming2 360 天前
@Nile20 #45 emmmmm ,大部分 OCR 都支持换行识别拼接成完成内容的吧?
|
81
j717273419 360 天前 via iPhone 5
蹲一个删帖辟谣加道歉🙇
|
82
mikewang 360 天前 1
@j717273419 这时就能体现出 v 站的好处了:并不能删帖
|
83
biaoxie 360 天前
遥遥领先
|
84
akilawu 360 天前 1
哈人,还好我一直用的 dama ,而且限制了微信对相册的访问,要传啥才给微信看啥。还是果子好啊,源头上杜绝小马哥偷看我裸照(不是)。
听说有一些安卓机也能做了,但是希望能有越来越多安卓厂商跟进,不要让大家天天裸奔(至少心理上好受点) |
85
lyz1990 360 天前 via iPhone 6
蹲一个道歉贴:“在叔叔的耐心指导下终于搞明白一切都是误会”
|
86
fpk5 360 天前
海外 IP wechat 未复现
|
87
smlcgx 360 天前 via iPhone 1
我支持微信,你们可以打我了(狗头)
|
88
cl1ff 360 天前
这种发在私聊或者群聊都一样被严控的吗
|
90
ajyz 360 天前 via iPhone
@jjxtrotter 问这问题就是多余的,一个 CallKit 都能精准控制,这些东西即便存在也不是简单不同地区客户端上做区别。要问也顶多问下海外用户是否能复现
|
92
WildDonkey 360 天前 via Android
这个 URL 早就这样了,我有一个计数器连接,发到微信就发现被访问了,因为数据不同步了。基本透明。
|
93
mazk 360 天前 via Android
有些人还没看明白,本帖重点是微信审查*未上传*的图片啊,这很可怕诶
|
94
pianjiao 360 天前 via Android
马上快进到自动删你手机的敏感图片
|
95
villivateur 360 天前
我昨天晚上没复现出来,会不会跟账号“信用等级”有关
|
96
cat9life 360 天前
插眼关注,这样收集信息的效率倍增,直接看你打码的信息就好
|
97
hauibojek 360 天前
相册这种,只要你给了访问权限,不管你传没传都默认图片被应用获取就行了。
|
98
liuidetmks 360 天前
“不做亏心事,不怕鬼敲门” (战术后仰
|
99
Steaven 360 天前
我们之前做社交的,在微博流或者 IM 应用里用户发的图片链接、网址,我们后台都会去请求一下,把数据抓回来做一个富文本处理。
|