微博自动点赞,从技术的角度分析是哪个环节在作恶

2021-02-16 19:00:21 +08:00
 OldCarMan

问题

如题,最近偶然间发现我的微博在去年 10 月 29 号到 11 月 2 号短短几天内,无故给几十条垃圾营销号微博点了赞(见图 1),几年前也发生过两三次无故关注一些营销号的事件

分析

1.PC 浏览器的一些扩展程序窃取了 cookies,不过我看了我 chrome 浏览器的扩展程序,除了一些常用的插件,剩下的基本都是官方插件或者停用状态的(见图 2)

2.运营商劫持了 cookies,这个感觉可能性挺大的,但没证据。不过参照前几天有一位 v 友发帖说将自己的一个接口从 PC 端 qq 发到手机端 qq,接着该接口就收到好几个不同 ip 的请求。

3.PC 应用读取 cookies 相关文件(类似前段时间 qq 偷偷读取浏览器浏览记录),但我电脑没装什么乱七八糟的软件,再者即使就算有,前段时间通过火绒设定了自定义防护后,也没见一些第三方软件读取相关文件。所以可能性低。

4.代理或者路由器窃取 cookies,包括连了一些公用 wifi,不过上面说的点赞期间没用过其他 wifi,不过手机端可能连过一些梯子或者加速器,这倒有可能被窃取了。
看了微博最近的登录日志,都是正常,所以排除账号被盗用

总结

如果排查微博内部作恶,大家觉得会是哪个环节在搞鬼,另外不得不吐槽一下微博,问题出现后,我搜了一下这个问题好几年前就存在了,到现在还这么常见,并且也没见那些作恶者被抓了,实在是无力吐槽,技术上没法避免?相比于国内其他社交软件,我好像没听说过微信或者 qq 会出现过类似的情况(当然微信和 qq 没有 PC 网页端或者没有长期保存 cookie 在浏览器上)。

补充:

图 1

图 2

1641 次点击
所在节点    问与答
28 条回复
Mac
2021-02-17 03:20:15 +08:00
我确认是 cookie 被窃取,因为我之前有一阵子是经常自动关注一批人,取消关注后又会被重新关注。后来经过反复试验,只要我不在浏览器登陆就不会出现这情况了。未必是官方,也有可能是电信运营商做的黑产。
Zy143L
2021-02-17 03:29:30 +08:00
1.从技术角度 浏览器插件的确有可能,但是目前未听说有这类的
2.微博起码也得是个 HTTPS 了 把自己接口发到 QQ 有 IP 请求是因为 QQ 有域名(安全扫描)这一类东西
3.技术可以实现,但是没啥实现意义
4.同 2 除非你主动安装 HTTPS 解密证书
账号被盗,大可排除
其实大部分就是微博自己人干的事
interim
2021-02-17 03:53:13 +08:00
运营商做黑产,这钟观点都能想出来,我只能说,人才。
renothing
2021-02-17 04:54:33 +08:00
https://app.weibo.com
特别是注意看下"我的应用"

根据我的观察,应该是这里泄漏出去的.这里的应用基本都是 app 里"我的"页面里各种红包抽奖诱导引导的.然后哪天你不小心误点了,就会出现莫名其妙的点赞啥的.
zqx
2021-02-17 11:21:56 +08:00
移动联通这种没有业绩压力的垄断企业,不至于干这个吧,倒是新浪很可能
OldCarMan
2021-02-17 15:45:23 +08:00
@xiadong1994 也是。

@Mac 我也觉得很有可能,毕竟运营商也分很多级,另外如果内部员工搞鬼,也不一定知道,只能怀疑,但没证据。。。

@Zy143L 1.嗯嗯,听说过浏览器插件窃取 cookie,但还没听说过窃取微博的 cookie,另外我安装的大部分还是官方或者非常常见的插件; 2.嗯。不过这里个人有个猜想(不一定存在或者可行),虽然是 https,但毕竟人家是运营商,据我所知有一部分的 ssl 证书是放在 cdn 上的,如果运营商针对一些 cdn 服务商,再做一层 cdn 缓存呢(为什么要做呢?第一节省流量,第二跨运营商的链路好像需要收取网间费用)?那岂不是意味着运营商也能获取到相关证书。

@chnyuwen @zqx 哈哈,这不是我想出来的,是我搜出来的结果,而且也是微博点赞,说是运营商的锅,你可以自己搜一下。

@renothing 如果如你所说,那岂不是官方故意提供,毕竟这些都是官方提供的服务?
sogwsc
2021-02-18 08:21:56 +08:00
为了维持虚假的活跃度罢了
微博一堆的僵尸号
我经常在微博上搜索 特别特别多无意义重复的微博
比如你搜索“净化器”,就会有很多号发“真希望微博有个净化器。。。”后面跟不同的明星名字
而且很多我关注的号 长时间不用 也会变成发垃圾消息的账号
很难排除是官方的行为
OldCarMan
2021-02-18 18:55:15 +08:00
@sogwsc 嗯嗯,现在个人数据都分散在各个第三方平台,人家想怎么利用,我们也没办法,现在在国内,基本都没啥个人隐私了,基本在裸奔,说个题外话,有时我不是很明白,为啥 zf 不牵头搞一套个人信息的验证平台,然后所有第三方想要验证身份信息的,都接入这个平台,不要把个人信息提供给第三方平台,只有相关单位能查得到一个人的个人信息。这样,即使个人信息泄露,也知道在哪个环节泄露的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/753582

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX