我承认我上头了：越是标榜“免费”的这种“在线观看入口”，越可能悄悄读取通讯录；我把自救步骤写清楚了

前言——我的一个教训上周我因为想看一部老剧，点了几个标着“免费”“无需登录”“高清”的在线观看入口。结果不久后就收到朋友问：“你刚刚把我的微信/短信转发给了谁？”我这才意识到，当时安装/授权的那个“客户端/小程序/网站”可能悄悄拿了我的通讯录。是我自己大意，也暴露了很多人对“免费”二字的盲目信任。把自救步骤整理出来，愿你不用像我一样到处求助。

先说清楚：这些“免费入口”怎么拿到通讯录？

假装是播放器或阅读器的App，会以“提升体验”“自动导入联系人”“快速分享”等理由请求通讯录权限。大多数手机系统一旦授权，App就能读取本机联系人数据并上传到服务器。
一些第三方登录（OAuth）在授权页面会请求“访问联系人/联系人邮箱”的权限，很多人不仔细看就点了“允许”。
少数网站会诱导你上传联系人文件（例如备份或“立即邀请好友”功能），或者通过钓鱼表单获取联系人数据。
浏览器页面通常不能直接读手机通讯录，但会诱导你下载安装“配套App”或扫描二维码，恶意行为往往从这一步开始。

如何判断自己的通讯录是否被读取或滥用（可疑信号）

你或你的联系人突然收到来自陌生号码的群发短信/诱导链接、推销电话。
朋友向你抱怨收到你名义发出的邀请或消息，但你并未发送。
手机通讯录内多出陌生条目或被自动修改过的联系人。
第三方服务、广告主对你和你联系人之间的关系了解异常详细（例如广告推荐你朋友的名字或内容）。
在账号安全检查中发现陌生设备或OAuth授权列表里有不认识的应用。

我当下采取的自救步骤（按紧急程度） 1) 立刻断开可疑App或服务的权限与连接

Android：设置 -> 隐私 -> 权限管理/权限 -> 通讯录，找到可疑App并撤销“通讯录”权限；或者设置 -> 应用与通知 -> 选择App -> 权限 -> 禁止访问通讯录。
iPhone(iOS)：设置 -> 隐私与安全 -> 通讯录，找到App并关闭访问开关。
网页/OAuth：前往你使用的Google/Apple/Facebook账号的安全设置，查看“第三方应用与服务访问权限/已连接应用”，撤销你不认识或不再使用的授权。

2) 立即卸载或禁用可疑App

卸载后再重启手机，防止后台持续行为。若应用拥有系统级权限或无法卸载，考虑进入安全模式或联系厂商/专业人员处理。

3) 更换重要账号密码并开启双重验证

修改与你手机、邮箱、社交账号关联的密码；开启二步验证（2FA）。若攻击者获取通讯录，可能会针对联系人进行钓鱼，2FA能大幅降低账号被劫的风险。

4) 检查并移除可疑OAuth授权

Google账号：My Account -> 安全 -> 第三方应用对账户的访问，移除可疑项。
Facebook/Apple 等类似入口也要逐一检查并收回权限。

5) 通知联系人并提高警惕

向可能受到影响的联系人发一条简短说明：你曾授权过某个不明来源的服务，若他们收到你的邀请/链接请不要点击并直接删除。提醒他们留意可疑短信与社交媒体私信。

6) 检查是否有其他异常行为

查看银行、支付、邮件等账号是否有登录或交易异常，必要时联系相关平台冻结或增强保护。
查手机上是否有陌生短信/拨出记录，若有，截屏保存证据以备申诉与举报。

长期防护与预防清单（养成几项习惯）

对“免费”保持警惕：越强调“免注册”“无需登录”“快速在线播放”的入口，越要谨慎。许多隐私换取“免费”体验。
安装App前先看权限请求与评论：如果一个播放器请求“通讯录”“短信”“电话状态”等与其功能无关的权限，可以直接放弃。
使用官方渠道下载App：Google Play、Apple App Store等虽然也不是百分百安全，但比第三方市场或直接APK更靠谱；同时开启Play Protect或安全扫描。
审核OAuth授权页面的“访问范围”：授权时不只看“允许”，要看这个应用请求访问哪些数据（是否包含通讯录、邮件、联系人列表等）。
定期清理与审查已授权应用：每隔几个月检查一次账号中第三方应用权限。
设置最小权限原则：只给App最必要的权限，需要时临时授权，使用后就撤消。
使用一次性邮箱/二级手机号做试用注册：不愿意泄露主账号时，采用替代联系方式或临时号码。

给技术用户的深度建议（可选）

Android可用ADB命令查看App权限（需开发者模式/USB调试）：adb shell pm dump [包名] 或 adb shell pm list permissions，帮助判断App是否申请了CONTACTS相关权限。
在Google账号中查看“安全活动”和“最近的登录设备”，核对是否有异常远程访问或未授权的设备。
若怀疑敏感数据已上传，保留日志证据（短信、邮件、授权记录），向应用商店举报并向平台提交滥用申诉。

如何举报与取回权益