越想越不对劲：越是标榜“免费”的这种“二维码海报”，越可能悄悄读取通讯录

越想越不对劲：越是标榜“免费”的这种“二维码海报”，越可能悄悄读取通讯录

街角咖啡店门口、社区告示栏、电梯内张贴的“扫码免费领取”“扫码抽大奖”海报，看上去诱人又方便。但这些看似无害的二维码背后，有时藏着窃取通讯录、发送垃圾信息甚至传播恶意软件的陷阱。本篇文章拆解这些“免费”的二维码海报如何悄悄获取通讯录、如何判断真假，并给出切实可行的防护和应对步骤，供日常使用时参考。

一、这些二维码到底怎么“偷”通讯录？常见手段一览

• 诱导安装恶意应用：二维码指向一个下载链接（通常是APK或应用商店的页面），用户下载安装后，应用以“功能需要”为由请求读取通讯录（Android 的 READ_CONTACTS、iOS 的联系人权限）。一旦允许，通讯录就可能被上传到服务器。
• 页面社交工程：二维码打开的网页要求用户“验证手机号/邀请微信好友/导入通讯录以领取奖品”，并提供上传通讯录或粘贴联系人信息的表单。用户在缺乏警惕时可能直接提交。
• 利用网页权限或新兴API：部分浏览器支持联系人选择器（Contact Picker API），虽限制较多，但不排除极少数页面借助该接口或类似功能在用户交互下获取联系信息。
• 诱导第三方授权：通过模拟登录或要求用微信/QQ等第三方账号授权，借助授权页面诱导用户同意范围过大的权限，间接获得联系人或发送权限。
• 隐藏深层链接或短链跳转：二维码先跳转到短链或中间页面，再重定向到真正的诱导页或下载链接，增加难以追踪的难度。

二、这些二维码的常见“红旗”——扫之前先怀疑

• 过度“免费”或“立即领取”的措辞，伴随强烈时间压力（“限时”“仅今日”）。
• 二维码旁没有清晰的商家名称、联系方式或线下门店信息，或这些信息看起来模糊、拼写错误。
• 扫码后直接提示下载安装未知来源的App（尤其是APK文件），或页面要求开启“无障碍服务”“读取通讯录”之类敏感权限。
• 页面使用短链接、看似随机的域名，或域名与商家明显不符（如大品牌却用与品牌无关的小域名）。
• 要求上传联系人文件（vCard、CSV）或让你授权“导入通讯录”而没有说明用途或隐私政策。

三、遇到疑似可疑二维码，实用操作步骤 1) 扫码前的防护

• 用能预览链接的扫码器：选择会显示完整URL的扫码应用或相机，先看清跳转目标再决定是否打开。
• 不要轻易安装未知来源的APK，尽量通过官方应用商店下载应用。
• 如果页面要求登录第三方账号，留意授权页面的域名是否为正规第三方（例如微信、QQ 的官方域名），并仔细阅读授权项。

2) 扫码后如果被要求授权通讯录

• 拒绝授权或选择“稍后再说”。大多数促销或抽奖不需要访问通讯录就能完成。
• 若误授权：立即到系统设置撤销该应用或页面的联系人权限，并卸载可疑应用。

3) 已经被读取或上传通讯录怎么办

• 立即撤销该应用的权限并卸载。
• 更换相关账户密码（如果有账号信息可能被关联）。
• 通知经常联系的人，提醒警惕来自你名义的可疑短信或好友邀请。
• 检查手机短信、通话和社交账号是否出现异常登录或未经授权的消息发送记录。
• 在必要时向平台（应用商店、社交平台）或当地监管部门举报。

四、如何检查和管理手机权限（简明流程）

• Android：设置 > 应用 > 选择应用 > 权限 > 关闭“通讯录/联系人”权限；或 设置 > 隐私 > 权限管理 中查看所有请求过联系人权限的应用并逐个撤销。
• iOS：设置 > 隐私与安全 > 通讯录，查看哪些应用有权限并关闭可疑应用的访问。
• 定期清理不常用或来源可疑的应用，保持系统与应用更新。

五、企业或组织如何做出负责、可信的二维码海报

• 在海报上明确标注公司名称、联系方式和隐私说明简要链接，告知为何需要哪些权限以及数据如何处理。
• 优先使用网页表单或第三方认证来完成活动，而非要求上传通讯录文件。
• 若确实需要导入通讯录，提供透明的同意流程（明确勾选、展示用途、仅一次性使用并承诺不外泄）。
• 避免用短链隐藏真实域名；用HTTPS并在页面显眼处放置隐私政策链接。
• 给用户备选方案，例如不扫码也能参与的线下或人工方式。

六、常见问答（快读）

• 网页能直接读取我的通讯录吗？通常不能直接读取系统通讯录，浏览器限制较多，但网页能通过“上传文件”或使用浏览器的联系人选择器在用户明确交互下获取联系人。社交工程比技术漏洞更常见。
• 手机被读取后会怎样？最常见的后果是联系人被用来发送垃圾短信、诈骗信息或被转售；在更严重的情况下，联系人信息可能帮助犯罪者进行有针对性的社交工程攻击。
• 如何避免被拉入垃圾群或骚扰？谨慎授权、撤销可疑应用权限、安装官方来源应用、并在通讯录被泄露后及时警示联系人。