别把好奇心交出去：这种“短链跳转”可能正在悄悄读取通讯录

短链接看起来像魔法：一串短短的字符，把冗长的 URL 变得干净利落，方便在微信、邮件、社交平台里分享。问题是——当你出于好奇点开短链时，可能并不是单纯去看一篇文章或一张图片。有些短链背后会把“读取通讯录”当成目标，借机把联系人信息、好友关系乃至电话号码交给第三方。下面解释这些套路、如何识别，以及立即可执行的防护措施。

短链为什么会成为隐私攻击的入口？

隐藏真实目的地。短链的本质是重定向：点击后先到短链服务，再跳到目标页面。攻击者可以把用户导向看起来“正常”的页面，也可以先通过多个跳转链路实现追踪、注入脚本或触发下载。
社交工程与授权诱导。最常见的路径是“先诱导再授权”：页面会用“查看谁在用这个服务”“发现你的朋友”等提示，诱导你通过第三方登录（OAuth）或安装 App。只要用户同意授权，应用就可能获取通讯录访问权限。
假冒“找人/通讯录导入”按钮。很多服务要求“导入通讯录以找人”，攻击页面会把上传或授权按钮设计得极具诱导性。用户往往为图方便就点了。
利用 App 深度链接或恶意应用安装。在移动端，短链可能触发深度链接或引导安装看似合法但窃取权限的应用。一旦应用获得通讯录权限，后台就能悄悄上报联系人。
浏览器/服务端预取风险。部分聊天或社交应用在生成链接预览时，会由服务器代为访问短链。如果这些请求携带了会话或上下文信息，可能被滥用或留下线索；而恶意页面可能在预览访问时植入跟踪、收集指纹等信息。

常见的攻击场景（真实但不夸张的例子）

针对某个社群发放带短链的“活动注册链接”，点开后被要求用 Google/Facebook 授权，授权窗口请求“查看联系人”或“管理联系人”权限，用户误点同意后通讯录被第三方读取。
在私聊中收到一个短链，说点开可查看朋友合影，页面要求“允许安装客户端以查看”，安装后客户端要求通讯录权限并把联系人上传到服务器。
公共链接被植入跟踪脚本，诱导用户导出 vCard/上传通讯录做“找朋友”检测，导出文件被直接传到攻击者控制域名。

如何识别可疑短链（简明判断清单）

来源可疑或陌生人发来；好友的账号被盗用也常见，收到时先确认发送者本身。
页面要求“立即授权/上传通讯录/查看你的联系人”才能继续访问内容，尤其是没有充分理由的情况下。
强制安装应用或下载 APK、或让你在非应用商店安装软件。
登录窗口看起来像 Google/Facebook，但域名或窗口样式异常（警惕拼写相近的域名和伪造授权页）。
链接通过多级跳转、频繁弹出权限询问或立刻发起文件上传请求。

如果你想先看清楚再决定：安全预览短链的方法

使用 URL 展开工具。把短链贴到“URL expander”或“unshorten”类服务里，查看最终目标域名和跳转链路。
在电脑上用 curl 或浏览器的开发者工具查看重定向链（curl -I -L <短链> 可以看到 Location 字段）。
在浏览器地址栏先复制链接，不要直接点击；或在消息里长按/右键选择“复制链接地址”，再粘到在线检测工具或安全扫描服务（VirusTotal、Sucuri 等）查看。
对 bit.ly 等熟知短链服务，学会使用其预览功能（注意不同服务的预览方式不同，操作前先确认正规方法）。
对移动端链接，尽量先在桌面环境检查，避免直接在手机上安装未知应用或授权敏感权限。

点开短链后被要求授权或上传通讯录，怎么办