V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Dreax
V2EX  ›  微信

在微信内编辑图片会上传并审查原图

  Dreax · 361 天前 · 33623 次点击
这是一个创建于 361 天前的主题,其中的信息可能已经有所发展或是发生改变。

在 iOS 微信中编辑(打码)了一张图片并发送,编辑后的图片如下:

https://i.imgur.com/nJ9mtEb.jpg

几秒后原图中的地址收到了 120.233.19.186 (广东移动)的访问,URL 是图中部分可见文字的拼接

{"time":1700801419.550,"host":"XXX:443","req":"GET /YYY/snapshotsMethodPOSTHeadersAuthorizati...Bearer","req_size":980,"ip":"120.233.19.186","ua":"Mozilla/5.0 (Linux; Android 13; M2007J1SC Build/TKQ1.221114.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/107.0.5304.141 Mobile Safari/537.36 XWEB/5127 MMWEBSDK/20230405 MMWEBID/1151 MicroMessenger/8.0.35.2360(0x2800235D) WeChat/arm64 Weixin NetType/WIFI Language/zh_CN ABI/arm64 qcloudcdn-xinan Request-Source=3 Request-Channel=99","status":404,"resp_time":0.000,"resp_size":1482,"protocol":"HTTP/1.1","tls":"TLSv1.3"}
第 1 条附言  ·  361 天前

DNSlog 复现成功,但似乎没有 log4j 漏洞

test

dnslog

43.136.129.249, 220.196.152.109, 101.35.153.118, 81.71.98.69, 183.36.24.8, 106.52.173.110, 106.52.173.28, 106.52.173.28, 81.71.98.134

第 2 条附言  ·  361 天前

requestrepo

138 条回复    2023-12-24 01:02:25 +08:00
1  2  
Lin0936
    1
Lin0936  
   361 天前   ❤️ 5
这个“Authorizati...Bearer”真是绝了
freshgoose
    2
freshgoose  
   361 天前
牛皮啊
NoOneNoBody
    3
NoOneNoBody  
   361 天前   ❤️ 22
我是默认它应用内全部,应用外部分,只要“力所能及”,通通上传
AoEiuV020JP
    4
AoEiuV020JP  
   361 天前   ❤️ 2
厉害了,已经不能算是巧合了,就是手段太粗暴了,
Atsushi
    5
Atsushi  
   361 天前 via iPhone
狠 幸好我几乎不用
ishamo
    6
ishamo  
   361 天前   ❤️ 1
微信里面发的链接也会收到微信对该链接的请求,一般是零晨 1 到 3 点
windrun
    7
windrun  
   361 天前   ❤️ 1
打码了还审查原图,太粗暴了
qinfengge
    8
qinfengge  
   361 天前
毫不意外
fluffyfoxxo
    9
fluffyfoxxo  
   361 天前 via iPhone   ❤️ 19
@ishamo 同样有体会,1Password 分享密码的链接设置了只能被查看一次,用微信发出去之后接收方点开已经看不到了。
Goooooos
    10
Goooooos  
   361 天前 via Android
@fluffyfoxxo 那个是链接的预览功能吧?当然认为是审查也可以,因为没人知道他在后面做什么
fluffyfoxxo
    11
fluffyfoxxo  
   361 天前 via iPhone
@Goooooos 微信没有链接预览吧,而且刚刚测试了下 Telegram 和 Discord 的链接预览都不会导致消耗掉查看次数
jjxtrotter
    12
jjxtrotter  
   361 天前 via iPhone   ❤️ 2
有没有人试试 WeChat (海外版)是否有这个“功能”,洋大人的待遇和我们是一样的吗
googlefans
    13
googlefans  
   361 天前   ❤️ 3
早有预感
没想到今天被你抓到了
x1aomiao
    14
x1aomiao  
   361 天前   ❤️ 6
让我们猜一下这条会不会进水深火热
shiao56
    15
shiao56  
   361 天前
嗯,以后打码图片的活交给 dama ,就不劳烦小而美操心了
SunsetShimmer
    16
SunsetShimmer  
   361 天前
具体行为是单纯的 GET ,还是容器内用浏览器访问?
fan88
    17
fan88  
   361 天前
18:24 实测,截图一个链接。
查看 Nginx 上服务器的访问内容,是没有任何新增访问记录的。

不知道什么原因。
xuepoland
    18
xuepoland  
   361 天前
无时无刻的看着你
followNew
    19
followNew  
   361 天前   ❤️ 4
麻花藤把用户的一切信息都收集起来,加工分析,然后卖钱。
电诈的把用户的一切信息都收集起来,加工分析,然后骗钱。
weiruik
    20
weiruik  
   361 天前
iOS iPadOS 均能复现,但是 Mac 端似乎没有,可能是因为截图工具使用的是开源组件的原因
SunsetShimmer
    21
SunsetShimmer  
   361 天前
Android 端未复现,没有收到请求,没有 Cloudflare 防火墙事件。
irainsoft
    22
irainsoft  
   361 天前 via Android   ❤️ 1
楼上说的 1password 单次分享密码链接被提前点开的问题我也遇到过... 真的不能用
Marionic0723
    23
Marionic0723  
   361 天前   ❤️ 2
家里服务器公网共享文件,链接一发上微信,过一会就有上海电信来连接

https://www.v2ex.com/t/840035#reply28
jianchang512
    24
jianchang512  
   361 天前 via Android   ❤️ 6
你没做亏心事怕啥审核的
对国家要啥隐私,是不是五十万(🐵保命)
kevenli
    25
kevenli  
   361 天前   ❤️ 2
楼主放出来的这些 IP 全都是腾讯的机房 看来确实是微信服务端的操作了
fan88
    26
fan88  
   361 天前
iphone, win PC . 复现失败。

是否是因为域名已经备案的原因?
jianchang512
    27
jianchang512  
   361 天前 via Android   ❤️ 106
真担心明天会在这里看到你的认错道歉辟谣贴
renmu
    28
renmu  
   361 天前 via Android
是微信 ocr 了原图然后找到其中的链接并进行访问?
bigbyto
    29
bigbyto  
   361 天前   ❤️ 8
这个事最恐怖的还不是审查图片,是它自己去访问了图片中的链接。它们的审查到底做到了什么地步?
kaitok
    30
kaitok  
   361 天前
19:40 尝试通过 DNS LOG 没有复现成功
MoeWang
    31
MoeWang  
   361 天前
遇到过,有时候来源 UA 是 MacOS 的
fan88
    32
fan88  
   361 天前   ❤️ 2
关键点是编辑,编辑发送图片复现成功。
kaitok
    33
kaitok  
   361 天前   ❤️ 1
@kaitok 补充,我的账号是 WeChat ,截图内容是 dnslogs[dot]online 的网址,非常大和醒目

我编辑打码,然后发给朋友(非 WeChat ),朋友再编辑打码发送给我,都没有看到请求记录
Dreax
    34
Dreax  
OP
   361 天前
@renmu 是的,微信会对发送的图片进行 OCR 审查敏感文字和会对发送的链接进行访问审查这两者都并不是秘密,但这是第一次发现这两者的结合。而且是对编辑前的原图进行 OCR ,不过目前不知道是在本地还是上传后进行的(这需要有微信抓包经验的网友验证一下)。
greatbody
    35
greatbody  
   361 天前   ❤️ 1
@fan88 如果这样在链接中加入内容,注入了他的系统,破坏了它的系统,它能告我么?
fan88
    36
fan88  
   361 天前   ❤️ 1
@greatbody 开玩笑那可是腾讯,怎么会不告你。
Dreax
    37
Dreax  
OP
   361 天前
@SunsetShimmer 是在微信内编辑后发送吗?以及是否是 WeChat 、是否有备案?
SunsetShimmer
    38
SunsetShimmer  
   361 天前
@Dreax #37 加号-相册-选择图片-编辑-马赛克-完成-发送。不是 WeChat ,无备案。
xyui
    39
xyui  
   361 天前
按照描述,编辑进行简单涂鸦,和打码均未能复现
kaitok
    40
kaitok  
   361 天前
alsotang
    41
alsotang  
   361 天前
识别原图中的 url 然后去访问?这活儿有点细啊。
pushy
    42
pushy  
   361 天前   ❤️ 2
iOS 复现成功,太恐怖了
dm87497
    43
dm87497  
   361 天前 via Android
有没有类似 sendsecure.ly 这样的网站,支持发送图片的。
SunsetShimmer
    44
SunsetShimmer  
   361 天前
@fluffyfoxxo #11 不会消耗查看次数可能是因为服务器端根据 UA 对 Telegram 和 Discord 的 Bot 做了排除?
Nile20
    45
Nile20  
   361 天前   ❤️ 2
我靠,你这链接都换行了,他们还特地做了这样的识别?另,希望不要看到你的辟谣道歉帖……后面类似的大佬还是搞个新号发吧~
Persimmon08
    46
Persimmon08  
   361 天前
如果发送的是二维码图片,二维码图片对应一个链接或者是一些字符串,这些链接或者字符串中的关键字会不会被审查或访问
n2l
    47
n2l  
   361 天前 via iPhone
我把 sever 酱的链接,贴在了图片上,发给自己,也发给别人,暂未收到点击。
elboble
    48
elboble  
   361 天前   ❤️ 1
专门做一张图片,放 1000 个网址,然后大家互传个一天,是不是腾讯会累死。
yyzh
    49
yyzh  
   361 天前
@elboble 人类跟机器比是比不过的
Nile20
    50
Nile20  
   361 天前
@Nile20 #44 完了,我在 X 上也看到了……希望不要一语成谶……
est
    51
est  
   361 天前
@kevenli
@jianchang512
@bigbyto
@Dreax
@pushy

据说,南山🚔有腾讯调证处,里面有 wechat <-> 微信的解密流量镜像。

如果这个说法是真的,那么这个请求不一定是腾讯发出的。很可能是第三方强权机构或者其承包商发出的。
docx
    52
docx  
   361 天前 via Android   ❤️ 1
只知道链接会,之前看谁(好像也是 V2 )说有个只能访问一次的链接,发到微信之后打开就失效了。

没找到图片还能 OCR 出网址去访问,审查的算力真是疯狂啊……
dontLookAvatar
    53
dontLookAvatar  
   361 天前
不知道发给文件助手, 然后再编辑会不会? 时常把一些向日葵和不太重要的账号密码发到文件助手用来备份...
EdwardWong
    54
EdwardWong  
   361 天前   ❤️ 1
User-Agent 里有 qcloudcdn-xinan ,其并没有出现在手机微信的客户端中
微信开放社区里有相关问题,可靠性不确定 ( http://archive.today/Tqzhi ) : https://developers.weixin.qq.com/community/develop/doc/000c0074240058e7bb4fbb0c456000
kxxoling
    55
kxxoling  
   361 天前
除了微信,别的软件/网站有吗?
ytmsdy
    56
ytmsdy  
   361 天前
@Dreax 我觉得应该是本地先 OCR 识别以后,再把文字上传扫描。本地 OCR 可以借助手机的算力来处理,一方面节约算力,另外一方面节约带宽。
ytmsdy
    57
ytmsdy  
   361 天前
@Nile20 https://twitter.com/Yura8964/status/1729437621636718611 有人发出来了,我就是从 X 上过来的。
OutOfMemoryError
    58
OutOfMemoryError  
   361 天前
@fan88 #17 试试看二维码?
NDHT
    59
NDHT  
   361 天前   ❤️ 9
早就知道微信发送的每张图片都会 OCR 审查上面的文字,没想到还会访问图片上的 URL 来做审查。
我猜微信很可能已经收集了全国人民的声纹信息....细思极恐
我想知道,微信是否会(至少是对部分人群)直接做语音转文字然后审查每一条语音信息的内容。
以及是否会通过语音转文字来审查微信语音和视频通话。
Thexz
    60
Thexz  
   361 天前
所以在相册里面编辑打码,然后截屏保存,发送截图
kingfly
    61
kingfly  
   361 天前 via Android
不细思也极恐
wtdd
    62
wtdd  
   361 天前   ❤️ 1
明白了,桌面版微信当 OCR 使用也会上传的,哈哈,唯有远离了
morax0xyc
    63
morax0xyc  
   361 天前 via iPhone
没复现出来,这是随机抽样的?
sunrisewestern
    64
sunrisewestern  
   361 天前
@jjxtrotter #12 你想多了,微信海外用户基本没有洋大人,都是海外华人
SZP1206
    65
SZP1206  
   361 天前
@Persimmon08 我记得是会的。
Ericcccccccc
    66
Ericcccccccc  
   361 天前
为啥楼上说恐怖, 这不是常规操作吗...每天活在恐怖片里?

你用微信难道以为在上面传播的图片不会经过审查?
ZE3kr
    67
ZE3kr  
   361 天前
图片里有 URL 二维码是不是也是等价的
Persimmon08
    68
Persimmon08  
   361 天前
所以,在中国现行法律框架下,微信这样搞是否侵犯隐私且违法?
SenLief
    69
SenLief  
   361 天前 via iPhone
微信会对每张图片 ocr ,这是审查的基本要求,只不过微信更严而已,链接和 url 是重灾区,之前有看到过大致起源于当时有人用文字转图片。
Arenxk194
    70
Arenxk194  
   361 天前 via Android
Wx 还会对未发送的图片进行缓存,不清楚是不是发送到了服务器。打开微信图片对话框,这时切换其他图片编辑器进行编辑,保存并覆盖原图(此时图片已修改),返回 wx,发送发送图片,会发现时光倒流了,源文件被修改但 wx 发送的还是未修改的图,即使重启 wx,对其他用户发送,依然是未修改的图,一年💰测试的,不清楚它会缓存本机多少图,多长时间,v 油可以测试一下,现在改了没有
@Thexz ,由于这个原因,你在你在相册里编辑也没有啊😯反正自己缓存了原图
Wataru
    71
Wataru  
   361 天前
@jjxtrotter #12 都是同一款 app ,我海外号登录就是微信变成 wechat ,没别的区别了感觉
Alex1111
    72
Alex1111  
   361 天前
@Ericcccccccc 感觉最重要的点是,它会上传审查你未发送的原图。
也就意味着未经许可上传用户未发送的图片。
lyc8503
    73
lyc8503  
   361 天前   ❤️ 2
刚去测试了下 QQ TIM 安卓客户端,会对发送的图片中包含的链接主动请求,来源 IP 120.233.19.208 ,但如果打码发送不会对原图审查
Ericcccccccc
    74
Ericcccccccc  
   361 天前
@Alex1111 你买个小米手机, 感觉它会检查你手机里啥东西?

微信和你的图片之间的距离只有手机的权限能拦住他
lyc8503
    75
lyc8503  
   361 天前
@jjxtrotter @kaitok

我 Wechat (绑定了海外手机号的微信)直接发有链接的图片似乎都没有触发审查
Alex1111
    76
Alex1111  
   361 天前 via iPhone
@Ericcccccccc 用的 iOS
S179276SP
    77
S179276SP  
   361 天前
@Persimmon08 只要是国家默许搞的, 就不算是违法.
jinliming2
    78
jinliming2  
   361 天前
@Ericcccccccc #66 可是这个不是审查“在上面传播的图片”啊,图片是在本地编辑处理的,在上面传播的是处理后的图片,而受到审查的是本地本应该不联网的原图。

就算是老美搞的棱镜门,也都还只是审查上传到服务器的数据吧?
lemonJ
    79
lemonJ  
   361 天前   ❤️ 9
@Persimmon08 在中国现行法律框架下,你是不可能知道微信在这样搞的. 如果你通过某种途径知道了微信在这样搞,包括但不限于通过某些方式去测试微信有没有这样搞,你已经违法了
jinliming2
    80
jinliming2  
   361 天前
@Nile20 #45 emmmmm ,大部分 OCR 都支持换行识别拼接成完成内容的吧?
j717273419
    81
j717273419  
   361 天前 via iPhone   ❤️ 5
蹲一个删帖辟谣加道歉🙇
mikewang
    82
mikewang  
   361 天前   ❤️ 1
@j717273419 这时就能体现出 v 站的好处了:并不能删帖
biaoxie
    83
biaoxie  
   361 天前
遥遥领先
akilawu
    84
akilawu  
   360 天前   ❤️ 1
哈人,还好我一直用的 dama ,而且限制了微信对相册的访问,要传啥才给微信看啥。还是果子好啊,源头上杜绝小马哥偷看我裸照(不是)。
听说有一些安卓机也能做了,但是希望能有越来越多安卓厂商跟进,不要让大家天天裸奔(至少心理上好受点)
lyz1990
    85
lyz1990  
   360 天前 via iPhone   ❤️ 6
蹲一个道歉贴:“在叔叔的耐心指导下终于搞明白一切都是误会”
fpk5
    86
fpk5  
   360 天前
海外 IP wechat 未复现
smlcgx
    87
smlcgx  
   360 天前 via iPhone   ❤️ 1
我支持微信,你们可以打我了(狗头)
cl1ff
    88
cl1ff  
   360 天前
这种发在私聊或者群聊都一样被严控的吗
Xmi080225
    89
Xmi080225  
   360 天前
@cl1ff 前两天还看到那个北京打拳的东哥说微信私聊不会监控 群聊是肯定会监控的,还说是 TX 内部人员消息,看来不可靠
ajyz
    90
ajyz  
   360 天前 via iPhone
@jjxtrotter 问这问题就是多余的,一个 CallKit 都能精准控制,这些东西即便存在也不是简单不同地区客户端上做区别。要问也顶多问下海外用户是否能复现
corcre
    91
corcre  
   360 天前
@lyz1990 叔叔都来了, 那不还得没收打工十余年违法所得
WildDonkey
    92
WildDonkey  
   360 天前 via Android
这个 URL 早就这样了,我有一个计数器连接,发到微信就发现被访问了,因为数据不同步了。基本透明。
mazk
    93
mazk  
   360 天前 via Android
有些人还没看明白,本帖重点是微信审查*未上传*的图片啊,这很可怕诶
pianjiao
    94
pianjiao  
   360 天前 via Android
马上快进到自动删你手机的敏感图片
villivateur
    95
villivateur  
   360 天前
我昨天晚上没复现出来,会不会跟账号“信用等级”有关
cat9life
    96
cat9life  
   360 天前
插眼关注,这样收集信息的效率倍增,直接看你打码的信息就好
hauibojek
    97
hauibojek  
   360 天前
相册这种,只要你给了访问权限,不管你传没传都默认图片被应用获取就行了。
liuidetmks
    98
liuidetmks  
   360 天前
“不做亏心事,不怕鬼敲门” (战术后仰
Steaven
    99
Steaven  
   360 天前
我们之前做社交的,在微博流或者 IM 应用里用户发的图片链接、网址,我们后台都会去请求一下,把数据抓回来做一个富文本处理。
lilei2023
    100
lilei2023  
   360 天前
@Xmi080225 东哥的话,信一半就行了,
1  2  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   925 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 31ms · UTC 22:12 · PVG 06:12 · LAX 14:12 · JFK 17:12
Developed with CodeLauncher
♥ Do have faith in what you're doing.