V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Dreax
V2EX  ›  微信

在微信内编辑图片会上传并审查原图

  Dreax · 2023-11-28 15:53:33 +08:00 · 34361 次点击
这是一个创建于 398 天前的主题,其中的信息可能已经有所发展或是发生改变。

在 iOS 微信中编辑(打码)了一张图片并发送,编辑后的图片如下:

https://i.imgur.com/nJ9mtEb.jpg

几秒后原图中的地址收到了 120.233.19.186 (广东移动)的访问,URL 是图中部分可见文字的拼接

{"time":1700801419.550,"host":"XXX:443","req":"GET /YYY/snapshotsMethodPOSTHeadersAuthorizati...Bearer","req_size":980,"ip":"120.233.19.186","ua":"Mozilla/5.0 (Linux; Android 13; M2007J1SC Build/TKQ1.221114.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/107.0.5304.141 Mobile Safari/537.36 XWEB/5127 MMWEBSDK/20230405 MMWEBID/1151 MicroMessenger/8.0.35.2360(0x2800235D) WeChat/arm64 Weixin NetType/WIFI Language/zh_CN ABI/arm64 qcloudcdn-xinan Request-Source=3 Request-Channel=99","status":404,"resp_time":0.000,"resp_size":1482,"protocol":"HTTP/1.1","tls":"TLSv1.3"}
第 1 条附言  ·  2023-11-28 16:41:29 +08:00

DNSlog 复现成功,但似乎没有 log4j 漏洞

test

dnslog

43.136.129.249, 220.196.152.109, 101.35.153.118, 81.71.98.69, 183.36.24.8, 106.52.173.110, 106.52.173.28, 106.52.173.28, 81.71.98.134

第 2 条附言  ·  2023-11-28 20:17:21 +08:00

requestrepo

138 条回复    2023-12-24 01:02:25 +08:00
1  2  
Lin0936
    1
Lin0936  
   2023-11-28 15:57:14 +08:00   ❤️ 6
这个“Authorizati...Bearer”真是绝了
freshgoose
    2
freshgoose  
   2023-11-28 16:00:25 +08:00
牛皮啊
NoOneNoBody
    3
NoOneNoBody  
   2023-11-28 16:02:50 +08:00   ❤️ 23
我是默认它应用内全部,应用外部分,只要“力所能及”,通通上传
AoEiuV020JP
    4
AoEiuV020JP  
   2023-11-28 16:06:53 +08:00   ❤️ 2
厉害了,已经不能算是巧合了,就是手段太粗暴了,
Atsushi
    5
Atsushi  
   2023-11-28 16:07:37 +08:00 via iPhone
狠 幸好我几乎不用
ishamo
    6
ishamo  
   2023-11-28 16:22:42 +08:00   ❤️ 1
微信里面发的链接也会收到微信对该链接的请求,一般是零晨 1 到 3 点
windrun
    7
windrun  
   2023-11-28 17:19:40 +08:00   ❤️ 1
打码了还审查原图,太粗暴了
qinfengge
    8
qinfengge  
   2023-11-28 17:24:58 +08:00
毫不意外
fluffyfoxxo
    9
fluffyfoxxo  
   2023-11-28 17:25:04 +08:00 via iPhone   ❤️ 19
@ishamo 同样有体会,1Password 分享密码的链接设置了只能被查看一次,用微信发出去之后接收方点开已经看不到了。
Goooooos
    10
Goooooos  
   2023-11-28 17:27:30 +08:00 via Android
@fluffyfoxxo 那个是链接的预览功能吧?当然认为是审查也可以,因为没人知道他在后面做什么
fluffyfoxxo
    11
fluffyfoxxo  
   2023-11-28 17:33:21 +08:00 via iPhone
@Goooooos 微信没有链接预览吧,而且刚刚测试了下 Telegram 和 Discord 的链接预览都不会导致消耗掉查看次数
jjxtrotter
    12
jjxtrotter  
   2023-11-28 17:40:34 +08:00 via iPhone   ❤️ 2
有没有人试试 WeChat (海外版)是否有这个“功能”,洋大人的待遇和我们是一样的吗
googlefans
    13
googlefans  
   2023-11-28 17:59:43 +08:00   ❤️ 3
早有预感
没想到今天被你抓到了
x1aomiao
    14
x1aomiao  
   2023-11-28 18:04:16 +08:00   ❤️ 6
让我们猜一下这条会不会进水深火热
shiao56
    15
shiao56  
   2023-11-28 18:20:53 +08:00   ❤️ 1
嗯,以后打码图片的活交给 dama ,就不劳烦小而美操心了
SunsetShimmer
    16
SunsetShimmer  
   2023-11-28 18:24:32 +08:00
具体行为是单纯的 GET ,还是容器内用浏览器访问?
fan88
    17
fan88  
   2023-11-28 18:25:18 +08:00
18:24 实测,截图一个链接。
查看 Nginx 上服务器的访问内容,是没有任何新增访问记录的。

不知道什么原因。
xuepoland
    18
xuepoland  
   2023-11-28 18:25:35 +08:00
无时无刻的看着你
followNew
    19
followNew  
   2023-11-28 18:34:05 +08:00   ❤️ 4
麻花藤把用户的一切信息都收集起来,加工分析,然后卖钱。
电诈的把用户的一切信息都收集起来,加工分析,然后骗钱。
weiruik
    20
weiruik  
   2023-11-28 18:48:16 +08:00
iOS iPadOS 均能复现,但是 Mac 端似乎没有,可能是因为截图工具使用的是开源组件的原因
SunsetShimmer
    21
SunsetShimmer  
   2023-11-28 18:53:06 +08:00
Android 端未复现,没有收到请求,没有 Cloudflare 防火墙事件。
irainsoft
    22
irainsoft  
   2023-11-28 18:57:56 +08:00 via Android   ❤️ 1
楼上说的 1password 单次分享密码链接被提前点开的问题我也遇到过... 真的不能用
Marionic0723
    23
Marionic0723  
   2023-11-28 19:02:40 +08:00   ❤️ 2
家里服务器公网共享文件,链接一发上微信,过一会就有上海电信来连接

https://www.v2ex.com/t/840035#reply28
jianchang512
    24
jianchang512  
   2023-11-28 19:06:17 +08:00 via Android   ❤️ 6
你没做亏心事怕啥审核的
对国家要啥隐私,是不是五十万(🐵保命)
kevenli
    25
kevenli  
   2023-11-28 19:18:10 +08:00   ❤️ 2
楼主放出来的这些 IP 全都是腾讯的机房 看来确实是微信服务端的操作了
fan88
    26
fan88  
   2023-11-28 19:28:01 +08:00
iphone, win PC . 复现失败。

是否是因为域名已经备案的原因?
jianchang512
    27
jianchang512  
   2023-11-28 19:29:33 +08:00 via Android   ❤️ 107
真担心明天会在这里看到你的认错道歉辟谣贴
renmu
    28
renmu  
   2023-11-28 19:32:11 +08:00 via Android
是微信 ocr 了原图然后找到其中的链接并进行访问?
bigbyto
    29
bigbyto  
   2023-11-28 19:37:24 +08:00   ❤️ 8
这个事最恐怖的还不是审查图片,是它自己去访问了图片中的链接。它们的审查到底做到了什么地步?
kaitok
    30
kaitok  
   2023-11-28 19:42:56 +08:00
19:40 尝试通过 DNS LOG 没有复现成功
MoeWang
    31
MoeWang  
   2023-11-28 19:43:47 +08:00
遇到过,有时候来源 UA 是 MacOS 的
fan88
    32
fan88  
   2023-11-28 19:44:06 +08:00   ❤️ 2
关键点是编辑,编辑发送图片复现成功。
kaitok
    33
kaitok  
   2023-11-28 19:48:00 +08:00   ❤️ 1
@kaitok 补充,我的账号是 WeChat ,截图内容是 dnslogs[dot]online 的网址,非常大和醒目

我编辑打码,然后发给朋友(非 WeChat ),朋友再编辑打码发送给我,都没有看到请求记录
Dreax
    34
Dreax  
OP
   2023-11-28 19:49:31 +08:00
@renmu 是的,微信会对发送的图片进行 OCR 审查敏感文字和会对发送的链接进行访问审查这两者都并不是秘密,但这是第一次发现这两者的结合。而且是对编辑前的原图进行 OCR ,不过目前不知道是在本地还是上传后进行的(这需要有微信抓包经验的网友验证一下)。
greatbody
    35
greatbody  
   2023-11-28 19:50:24 +08:00   ❤️ 1
@fan88 如果这样在链接中加入内容,注入了他的系统,破坏了它的系统,它能告我么?
fan88
    36
fan88  
   2023-11-28 19:53:24 +08:00   ❤️ 1
@greatbody 开玩笑那可是腾讯,怎么会不告你。
Dreax
    37
Dreax  
OP
   2023-11-28 19:53:54 +08:00
@SunsetShimmer 是在微信内编辑后发送吗?以及是否是 WeChat 、是否有备案?
SunsetShimmer
    38
SunsetShimmer  
   2023-11-28 19:56:48 +08:00
@Dreax #37 加号-相册-选择图片-编辑-马赛克-完成-发送。不是 WeChat ,无备案。
xyui
    39
xyui  
   2023-11-28 19:56:53 +08:00
按照描述,编辑进行简单涂鸦,和打码均未能复现
kaitok
    40
kaitok  
   2023-11-28 20:05:56 +08:00
alsotang
    41
alsotang  
   2023-11-28 20:06:50 +08:00
识别原图中的 url 然后去访问?这活儿有点细啊。
pushy
    42
pushy  
   2023-11-28 20:16:49 +08:00   ❤️ 2
iOS 复现成功,太恐怖了
dm87497
    43
dm87497  
   2023-11-28 20:32:41 +08:00 via Android
有没有类似 sendsecure.ly 这样的网站,支持发送图片的。
SunsetShimmer
    44
SunsetShimmer  
   2023-11-28 20:45:52 +08:00
@fluffyfoxxo #11 不会消耗查看次数可能是因为服务器端根据 UA 对 Telegram 和 Discord 的 Bot 做了排除?
Nile20
    45
Nile20  
   2023-11-28 20:58:04 +08:00   ❤️ 2
我靠,你这链接都换行了,他们还特地做了这样的识别?另,希望不要看到你的辟谣道歉帖……后面类似的大佬还是搞个新号发吧~
Persimmon08
    46
Persimmon08  
   2023-11-28 21:05:40 +08:00
如果发送的是二维码图片,二维码图片对应一个链接或者是一些字符串,这些链接或者字符串中的关键字会不会被审查或访问
n2l
    47
n2l  
   2023-11-28 21:10:08 +08:00 via iPhone
我把 sever 酱的链接,贴在了图片上,发给自己,也发给别人,暂未收到点击。
elboble
    48
elboble  
   2023-11-28 21:15:49 +08:00   ❤️ 1
专门做一张图片,放 1000 个网址,然后大家互传个一天,是不是腾讯会累死。
yyzh
    49
yyzh  
   2023-11-28 21:18:06 +08:00
@elboble 人类跟机器比是比不过的
Nile20
    50
Nile20  
   2023-11-28 21:46:38 +08:00
@Nile20 #44 完了,我在 X 上也看到了……希望不要一语成谶……
est
    51
est  
   2023-11-28 21:47:26 +08:00
@kevenli
@jianchang512
@bigbyto
@Dreax
@pushy

据说,南山🚔有腾讯调证处,里面有 wechat <-> 微信的解密流量镜像。

如果这个说法是真的,那么这个请求不一定是腾讯发出的。很可能是第三方强权机构或者其承包商发出的。
docx
    52
docx  
   2023-11-28 21:55:08 +08:00 via Android   ❤️ 1
只知道链接会,之前看谁(好像也是 V2 )说有个只能访问一次的链接,发到微信之后打开就失效了。

没找到图片还能 OCR 出网址去访问,审查的算力真是疯狂啊……
dontLookAvatar
    53
dontLookAvatar  
   2023-11-28 22:01:57 +08:00
不知道发给文件助手, 然后再编辑会不会? 时常把一些向日葵和不太重要的账号密码发到文件助手用来备份...
EdwardWong
    54
EdwardWong  
   2023-11-28 22:02:06 +08:00   ❤️ 1
User-Agent 里有 qcloudcdn-xinan ,其并没有出现在手机微信的客户端中
微信开放社区里有相关问题,可靠性不确定 ( http://archive.today/Tqzhi ) : https://developers.weixin.qq.com/community/develop/doc/000c0074240058e7bb4fbb0c456000
kxxoling
    55
kxxoling  
   2023-11-28 22:03:15 +08:00
除了微信,别的软件/网站有吗?
ytmsdy
    56
ytmsdy  
   2023-11-28 22:29:59 +08:00
@Dreax 我觉得应该是本地先 OCR 识别以后,再把文字上传扫描。本地 OCR 可以借助手机的算力来处理,一方面节约算力,另外一方面节约带宽。
ytmsdy
    57
ytmsdy  
   2023-11-28 22:30:52 +08:00
@Nile20 https://twitter.com/Yura8964/status/1729437621636718611 有人发出来了,我就是从 X 上过来的。
OutOfMemoryError
    58
OutOfMemoryError  
   2023-11-28 22:31:49 +08:00
@fan88 #17 试试看二维码?
NDHT
    59
NDHT  
   2023-11-28 22:43:43 +08:00   ❤️ 9
早就知道微信发送的每张图片都会 OCR 审查上面的文字,没想到还会访问图片上的 URL 来做审查。
我猜微信很可能已经收集了全国人民的声纹信息....细思极恐
我想知道,微信是否会(至少是对部分人群)直接做语音转文字然后审查每一条语音信息的内容。
以及是否会通过语音转文字来审查微信语音和视频通话。
Thexz
    60
Thexz  
   2023-11-28 22:57:03 +08:00
所以在相册里面编辑打码,然后截屏保存,发送截图
kingfly
    61
kingfly  
   2023-11-28 23:08:19 +08:00 via Android
不细思也极恐
wtdd
    62
wtdd  
   2023-11-28 23:22:24 +08:00   ❤️ 1
明白了,桌面版微信当 OCR 使用也会上传的,哈哈,唯有远离了
morax0xyc
    63
morax0xyc  
   2023-11-28 23:25:58 +08:00 via iPhone
没复现出来,这是随机抽样的?
sunrisewestern
    64
sunrisewestern  
   2023-11-28 23:50:47 +08:00
@jjxtrotter #12 你想多了,微信海外用户基本没有洋大人,都是海外华人
SZP1206
    65
SZP1206  
   2023-11-28 23:57:03 +08:00
@Persimmon08 我记得是会的。
Ericcccccccc
    66
Ericcccccccc  
   2023-11-28 23:58:15 +08:00
为啥楼上说恐怖, 这不是常规操作吗...每天活在恐怖片里?

你用微信难道以为在上面传播的图片不会经过审查?
ZE3kr
    67
ZE3kr  
   2023-11-29 00:00:05 +08:00
图片里有 URL 二维码是不是也是等价的
Persimmon08
    68
Persimmon08  
   2023-11-29 00:07:19 +08:00
所以,在中国现行法律框架下,微信这样搞是否侵犯隐私且违法?
SenLief
    69
SenLief  
   2023-11-29 00:07:22 +08:00 via iPhone
微信会对每张图片 ocr ,这是审查的基本要求,只不过微信更严而已,链接和 url 是重灾区,之前有看到过大致起源于当时有人用文字转图片。
Arenxk194
    70
Arenxk194  
   2023-11-29 00:18:15 +08:00 via Android
Wx 还会对未发送的图片进行缓存,不清楚是不是发送到了服务器。打开微信图片对话框,这时切换其他图片编辑器进行编辑,保存并覆盖原图(此时图片已修改),返回 wx,发送发送图片,会发现时光倒流了,源文件被修改但 wx 发送的还是未修改的图,即使重启 wx,对其他用户发送,依然是未修改的图,一年💰测试的,不清楚它会缓存本机多少图,多长时间,v 油可以测试一下,现在改了没有
@Thexz ,由于这个原因,你在你在相册里编辑也没有啊😯反正自己缓存了原图
Wataru
    71
Wataru  
   2023-11-29 00:27:58 +08:00
@jjxtrotter #12 都是同一款 app ,我海外号登录就是微信变成 wechat ,没别的区别了感觉
Alex1111
    72
Alex1111  
   2023-11-29 00:48:21 +08:00
@Ericcccccccc 感觉最重要的点是,它会上传审查你未发送的原图。
也就意味着未经许可上传用户未发送的图片。
lyc8503
    73
lyc8503  
   2023-11-29 00:58:34 +08:00   ❤️ 2
刚去测试了下 QQ TIM 安卓客户端,会对发送的图片中包含的链接主动请求,来源 IP 120.233.19.208 ,但如果打码发送不会对原图审查
Ericcccccccc
    74
Ericcccccccc  
   2023-11-29 01:01:22 +08:00
@Alex1111 你买个小米手机, 感觉它会检查你手机里啥东西?

微信和你的图片之间的距离只有手机的权限能拦住他
lyc8503
    75
lyc8503  
   2023-11-29 01:05:39 +08:00
@jjxtrotter @kaitok

我 Wechat (绑定了海外手机号的微信)直接发有链接的图片似乎都没有触发审查
Alex1111
    76
Alex1111  
   2023-11-29 01:10:36 +08:00 via iPhone
@Ericcccccccc 用的 iOS
S179276SP
    77
S179276SP  
   2023-11-29 01:23:22 +08:00
@Persimmon08 只要是国家默许搞的, 就不算是违法.
jinliming2
    78
jinliming2  
   2023-11-29 01:23:25 +08:00
@Ericcccccccc #66 可是这个不是审查“在上面传播的图片”啊,图片是在本地编辑处理的,在上面传播的是处理后的图片,而受到审查的是本地本应该不联网的原图。

就算是老美搞的棱镜门,也都还只是审查上传到服务器的数据吧?
lemonJ
    79
lemonJ  
   2023-11-29 01:27:09 +08:00   ❤️ 9
@Persimmon08 在中国现行法律框架下,你是不可能知道微信在这样搞的. 如果你通过某种途径知道了微信在这样搞,包括但不限于通过某些方式去测试微信有没有这样搞,你已经违法了
jinliming2
    80
jinliming2  
   2023-11-29 01:29:53 +08:00
@Nile20 #45 emmmmm ,大部分 OCR 都支持换行识别拼接成完成内容的吧?
j717273419
    81
j717273419  
   2023-11-29 01:37:44 +08:00 via iPhone   ❤️ 5
蹲一个删帖辟谣加道歉🙇
mikewang
    82
mikewang  
   2023-11-29 01:46:49 +08:00   ❤️ 1
@j717273419 这时就能体现出 v 站的好处了:并不能删帖
biaoxie
    83
biaoxie  
   2023-11-29 05:24:47 +08:00
遥遥领先
akilawu
    84
akilawu  
   2023-11-29 06:15:50 +08:00   ❤️ 1
哈人,还好我一直用的 dama ,而且限制了微信对相册的访问,要传啥才给微信看啥。还是果子好啊,源头上杜绝小马哥偷看我裸照(不是)。
听说有一些安卓机也能做了,但是希望能有越来越多安卓厂商跟进,不要让大家天天裸奔(至少心理上好受点)
lyz1990
    85
lyz1990  
   2023-11-29 07:08:09 +08:00 via iPhone   ❤️ 6
蹲一个道歉贴:“在叔叔的耐心指导下终于搞明白一切都是误会”
fpk5
    86
fpk5  
   2023-11-29 07:33:37 +08:00
海外 IP wechat 未复现
smlcgx
    87
smlcgx  
   2023-11-29 07:59:33 +08:00 via iPhone   ❤️ 1
我支持微信,你们可以打我了(狗头)
cl1ff
    88
cl1ff  
   2023-11-29 08:06:29 +08:00
这种发在私聊或者群聊都一样被严控的吗
Xmi080225
    89
Xmi080225  
   2023-11-29 08:20:21 +08:00
@cl1ff 前两天还看到那个北京打拳的东哥说微信私聊不会监控 群聊是肯定会监控的,还说是 TX 内部人员消息,看来不可靠
ajyz
    90
ajyz  
   2023-11-29 08:21:27 +08:00 via iPhone
@jjxtrotter 问这问题就是多余的,一个 CallKit 都能精准控制,这些东西即便存在也不是简单不同地区客户端上做区别。要问也顶多问下海外用户是否能复现
corcre
    91
corcre  
   2023-11-29 08:24:31 +08:00
@lyz1990 叔叔都来了, 那不还得没收打工十余年违法所得
WildDonkey
    92
WildDonkey  
   2023-11-29 08:26:12 +08:00 via Android
这个 URL 早就这样了,我有一个计数器连接,发到微信就发现被访问了,因为数据不同步了。基本透明。
mazk
    93
mazk  
   2023-11-29 08:28:39 +08:00 via Android
有些人还没看明白,本帖重点是微信审查*未上传*的图片啊,这很可怕诶
pianjiao
    94
pianjiao  
   2023-11-29 08:28:43 +08:00 via Android
马上快进到自动删你手机的敏感图片
villivateur
    95
villivateur  
   2023-11-29 08:31:12 +08:00
我昨天晚上没复现出来,会不会跟账号“信用等级”有关
cat9life
    96
cat9life  
   2023-11-29 08:37:21 +08:00
插眼关注,这样收集信息的效率倍增,直接看你打码的信息就好
hauibojek
    97
hauibojek  
   2023-11-29 08:37:57 +08:00
相册这种,只要你给了访问权限,不管你传没传都默认图片被应用获取就行了。
liuidetmks
    98
liuidetmks  
   2023-11-29 09:02:10 +08:00
“不做亏心事,不怕鬼敲门” (战术后仰
Steaven
    99
Steaven  
   2023-11-29 09:07:18 +08:00
我们之前做社交的,在微博流或者 IM 应用里用户发的图片链接、网址,我们后台都会去请求一下,把数据抓回来做一个富文本处理。
lilei2023
    100
lilei2023  
   2023-11-29 09:08:12 +08:00
@Xmi080225 东哥的话,信一半就行了,
1  2  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1239 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 29ms · UTC 17:54 · PVG 01:54 · LAX 09:54 · JFK 12:54
Developed with CodeLauncher
♥ Do have faith in what you're doing.