冷门但关键的真相：这种“短链跳转”可能在悄悄读取通讯录，最容易中招的是“只想看看”的人

2026-05-13 00:14:01 专题库 148

那条看起来无害的短链接，很多时候只是“入口”，而不是终点。短链本身不能直接访问你的手机通讯录，但它能把你带到有能力这样做的目标：恶意网页、诱导安装的 App、甚至伪装的 OAuth 授权页。尤其是那类“我就点一下看看”的人，往往因为一时好奇或懒得多问，被设计好的流程悄悄拿走通讯录或上传联系人信息。下面把这个链路拆开讲清楚，并给出可马上采纳的防护策略。

1) 短链到底做了什么？

短链服务（bit.ly、t.cn 等）把冗长 URL 换成简短的一串字符，点击后会被重定向到目标地址。短链本身只负责转发，但转发会隐藏真实目的地，给攻击者制造迷雾。
恶意一环通常发生在转发后的目标网站或被诱导安装的 App 上：网站可能弹出上传通讯录的伪装页面；App 可能以“增强体验”为由请求通讯录权限；或者伪造的 OAuth 页面会请求访问联系人权限。

2) 常见的“通讯录泄露”路径（现实案例常见手法）

社工式弹窗：页面弹出“为验证你的好友圈是否存在，请同步通讯录”的提示，引导你上传联系人或授权第三方登录获取联系人权限。
恶意 App：短链将你导向应用商店或直接触发安装，安装后该 App 请求通讯录权限并将联系人上传。
欺骗性授权（OAuth）：伪造的第三方登录页请求 Google/Apple 授权并勾选“访问联系人”的范围，很多人不细看就同意了。
深度链接/Intent 劫持：在手机上短链可能触发已安装 App 的深度链接，App 收到请求后可能借机发起权限请求或数据上报。
URL 扫描/追踪：虽然不是直接读取通讯录，但目标站点通过账号信息、邮箱地址、社交图谱等可以间接推断关系网并进行更精准的诈骗。

3) 最容易中招的人长什么样？

“只想看看”的用户：点了就走，不看弹窗、不检查目标域名、也不去核实授权页面的 URL。
过度信任即时通信环境的人：群里、朋友圈或私信转发的短链来自熟人，看起来可信就点。
操作习惯不佳的人：不习惯长按或在浏览器状态栏查看真实链接；或在移动端默认允许 App 自动打开链接和请求权限。
用老旧系统或未及时更新浏览器/应用的人：安全提示、权限弹窗或沙箱机制可能被绕过或不够严格。
把工作/重要联系人都保存在手机里的用户：一旦被上传，后果更严重。

4) 一套可马上执行的防护清单（标题党但实用）

不点就最好：看到不熟悉来源的短链，先不要点击，先问发信人或者在群里询问。
预览和展开短链：
在电脑上：把鼠标悬停在链接上查看真实 URL，或使用短链展开服务（如 checkshorturl.com、unshorten.it、wheregoes.com、urlscan.io、VirusTotal 的 URL 扫描）。
在手机上：长按短链选择“预览链接”或“复制链接”后粘贴到浏览器地址栏查看。
使用 URL 扫描器：把疑似短链粘到 urlscan.io、VirusTotal 等服务，查看目标站点是否含有可疑脚本、重定向或已被标记为恶意。
小心授权页面：任何要求“访问联系人/通讯录/联系人列表”的 OAuth 弹窗，都要逐项看权限范围；用 Google/Apple 官方账户设置检查并撤销可疑第三方访问（myaccount.google.com -> 安全 -> 第三方应用访问）。
装置与 App 权限管理：
iOS/Android 均可在系统设置中查看并关闭某个 App 的联系人权限，定期审查并撤销不必要的权限。
关闭“自动打开应用”或“按链接直接跳转到 App”的设置，遇到链接先在浏览器中打开。
QR 码也一样当心：部分短链来自二维码，使用会先显示目标 URL 的扫描工具，确认后再打开。
不随意安装不明 App：来自非官方渠道或评论/下载量异常的 App，先查询评测、安装量和权限请求再决定。
使用隐私/安全浏览器扩展或移动端安全 App：Content Security Policy、脚本拦截器、反钓鱼识别等能阻断恶意行为。
对重要账号启用两步验证，减少被滥用的风险。