前言

前一阵,给一个朋友分享了有一个抖音链接,被顺藤摸瓜摸到了抖音号,那一瞬间,好像被拔了内裤一样;由于我注册某音的手机号并不是常用的手机号,这他怎么摸到我抖音号的,由于只给这家伙一个人发送过一个「分享链接」排除其他可能,猫腻就在这个短链接里面!

排查

查了半天发现,某音短链接302出去虽然也携带u_code参数,但也是加密的,不仅包u_code这个参数,还包含了
「以下数据信息已脱敏」

1
2
3
4
5
6
7
8
9
10
11
12
13
region: CN
mid: 70713****39993677837
u_code: 18h**l5c6
did:MS4wLjA********CIMlvQuQyggkDyLJSKRU2-3uxX2Ja6m9Mz1vs3Api85VEvY_Lf7i45jaloEaX
iid:MS4wLjABAAAANwkJuWIRFOzg5uCpDRpMj4OX-QryoDgn-yYlXQnRwQQ
with_sec_did: 1
titleType: title
share_sign: WYtVESTQs_lZ0yY****RWI8Asg1TH_yAH7PCw3BDQ-
share_version: 29**00
ts: 17121***51
from_aid: 6**3
from_ssr: 1
from: web_code_link

既然找不到这里面的猫腻,那就网上查查资料看有没有类似的情况;
image

继而发现了该项目:https://github.com/JoeanAmier/XHS-Downloader

UTM

通过分享链接可以直接爆id;同群友说还有一个网站,支持查找很多分享者账号;其中包含「小红书,微博,网易云音乐,QQ音乐,全民K歌,喜马拉雅,雪球,Keep,汽水音乐,百度,酷安、小宇宙、知识星球、知乎、bilibili,即刻」
虽然分享链接都是短链接,访问者302后的链接其中都暗含user_id类似的明文参数,那么由此可见,并不是分享链接出的问题(以上提及单并不限于APP都涉及明文user_id参数,甚至位置参数;所以对于技术佬而言,顺着网线过去铲翻你也更不是什么困难事情了)

其实往链接里追加追踪参数的,这类技术统称为UTM

比如,有些站长喜欢在友情链接网址后面里添加一个?utm_source=links&utm_medium=referral类似的参数

举个更简单常见的例子:
A: https://www.zets.cn/?utm_source=links1
B:https://www.zets.cn/?utm_source=links2
通过这个来判断谁的效果更好,像很多电商、返利平台等等都通过UTM来进行流量溯源和利益分配,社交媒体整这些则是为了更了解你

那这朋友到底从哪里扒出来我抖音号呢,哥们悄咪咪关注的千把个妹妹,就这样被发现了;

一番威逼利诱后,我还是得到了我想要的答案,他说:“点开你分享的链接后,laozi没多久就刷到了你发的视频”;

也就是这样,我们两个在一个根本没有什么交集的数据世界就这样连上了一根线;如果这么分析,我连他,他连你,你再连我(当然这个是无限且闭环的圈子,也就是说通过这么一个小小短短的链接,你身边所有用该APP的用户,都被搭上了一根隐形的线),线和线之间就组成了一张巨网,这张网里兜着的,是我们的社交圈子;熟人推荐机制;互相艾特,一键转发,增强用户互动,这样以来推荐算法也就更智能

说实话,就根据我的兴趣爱好、行为模式 算法推荐的内容就让我停不下来;再把我的社交圈子里喜欢的内容推给我.口味相似,有共同的谈资,这样下去,我就更爱刷更爱看了,那么由此我的「信息茧房」也就这样形成了,从虚拟到现实,算法都把我拿捏了;或许这就是平台在分享链接里塞跟踪信息的最终目的

感言

前些年,都在怀疑自己的手机是在监听自己,明明今天刚讨论的某件东西,怎么推荐就来了****等等各种

其实最早个大app常驻后台监听剪切板信息,还有以上所说的UTM,即使你没搜索过,一起探讨聊这件东西的朋友搜索了,至于语音监听,监听我们普通人的语音+传输+转译,成本可想而知,弊大于利.

从企业的角度讲,在行业内人人皆知的商业行为,可作为用户的我只感觉,内裤都被扒了,我就分享了个链接,就有熟人能查到我的账号,看我的关注对象,点赞和收藏,看我发癫的日常,讲真的,作为一个网络爱好者,我自认为自己的隐私保护做的还算到位,只是想网络与现实分开,享受新时代背景下仅存的一丝边界感可事实却是.自己的每一次分享都亲手把自己的网络世界送到熟人面前;风险系数拉满

带跟踪参数,优化算法推荐内容等等,其实大多数人能理解,但能不能征求下用户同意或者做到相应的提醒会暴露账号的风险「最起码像抖音一样给追踪参数加密一下也好啊」