你以为是爆料,其实是收割,我把这种“二维码海报”的链路追完了:你点一下,它能记住你的设备指纹

我怎么做的(非技术细节描述) 先说明:我没有发布或传播任何攻击工具,也没有尝试入侵或破坏任何服务。调查主要基于观测和复现:多台不同手机在不同网络下扫描同一二维码,记录页面跳转、域名和呈现内容的差异;比对同一设备在不同时间的反应;并对页面可见行为(例如弹窗、请求外部资源的域名)做了追踪。把这些拼起来,就能还原出常见的“二维码追踪”链路与手法。
我看到的链路大致长这样(高层描述)
- 海报上的二维码并非直接指向最终内容,而是一个短链或跟踪链接。扫码会先跳转到一个中转域名或短链接服务。
- 中转页面迅速加载一段脚本,这段脚本会采集浏览器/设备的一些环境信息,生成一个标识符(ID),并把这个 ID 与访问记录关联。
- 随后页面可能通过参数把这个 ID 带到真正的内容页面,或者把 ID 存在浏览器的多种存储位置中(让它能被“恢复”)。
- 采集的环境信息来自浏览器可见的一些属性:浏览器类型与版本、屏幕分辨率、语言/时区、支持的字体/插件、一些图形渲染差异等。这些信息组合起来可以形成一个“设备指纹”,足以在未登录的情况下对同一台设备进行识别。
- 一旦设备被打上标签,后续可以通过同一追踪域名或合作方把它与广告投放、消息推送、用户画像打通,甚至和线下到访(扫码位置)联系起来,实现“线索变现”。
他们为什么要这么做
- 线索变现:线下扫码往往代表了明确的兴趣或行为意图,市场和广告方会为这样的“高价值线索”买单。
- 精准广告:把线下行为与线上画像连接,能提升广告投放转化率。
- 运营分析:活动主办方想知道哪些渠道、哪个地段的海报效果好,二维码埋点是最直接的办法。
- 更隐蔽的用途:部分不良主体会把这些数据卖给第三方,或者用于骚扰、诈骗的精准投放。
攻击面和风险(非代码说明)
- 隐私泄露:即便你没登录,设备指纹也能把多次访问串联起来,形成行为轨迹。
- 长期识别:通过多种存储机制和跨域合作,设备标识可能在被删除后“复活”。
- 目标化骚扰或诈骗:一旦某类兴趣或线索被识别,可能成为针对性营销或欺诈的对象。
- 数据交易:线下扫码所产生的标签对数据经纪人有价值,可能被买卖。
如何判断某个二维码是否在“收割”
- 链接预览可疑:扫码后出现很多重定向,或者短链先指向陌生域名,再跳到内容。
- 页面加载大量外部资源:尤其是多个陌生域名的脚本和像素图(常用于上报)。
- 内容和推送高度定向:你很快收到与海报内容或你附近活动强相关的广告或信息。
- 多次清理后仍出现相同个性化内容:说明识别可能不止依赖普通 Cookie。
普通用户可以做什么(实用但不揭示如何攻击)
- 在扫描前看清楚链接:很多扫码器会在打开前显示目标 URL。若域名不熟或有明显跟踪参数,可先放弃打开。
- 使用注重隐私的浏览器或扫码方式:隐私浏览器、带有防指纹功能的浏览器或专门的扫码应用可以减少被识别的暴露面。
- 限制网页追踪:关闭第三方 Cookie、使用广告/追踪屏蔽插件,或将浏览器设置为不保存站点数据。
- 使用隔离设备或临时浏览环境:像访客模式、临时浏览器或硬件上不常用的设备,可以把“主身份”与一次性扫码行为隔离开来。
- 关注权限和弹窗:不要随意授权网站访问位置、通讯录等敏感权限。
对平台和运营方的建议(面向从业者)
- 对用户友好:如果使用扫码做埋点,应在海报或页首明确说明会采集哪些信息,并提供明显的隐私选项。
- 最小化收集:只采集完成分析目的所需的最少信息,避免把线下行为与敏感信息简单挂钩。
- 合法合规:遵守当地数据保护法律,明确告知并取得必要同意,做好数据去标识化和安全存储。
结语 二维码本是便捷的桥梁,但当它被用来连接用户和庞大的追踪生态时,便利的另一面就是隐私的消耗。并非所有二维码都危险,但扫描之前多一分注意,能避免成为别人“收割”的目标。技术会继续演进,监管和使用者的判断力也要跟上——这是保护自己最直接的办法。









