朋友圈刷屏的99tk图库app截图，可能暗藏通讯录采集：域名、证书、签名先核对

朋友圈最近大量刷屏的“99tk图库”APP截图，看着像是方便的图床/图库工具，但有安全研究和用户反馈提示：部分类似应用在幕后可能会采集通讯录或请求过多敏感权限。下面给出一份面向普通用户和愿意动手核验的进阶用户的实用指南：在决定下载或打开任何来自朋友圈的链接/安装包前，先核对域名、证书与应用签名，避免把通讯录、好友关系链或验证信息交给不明渠道。

一、为什么要当心

• 社交圈里转发的截图、短链、安装包可能来自第三方渠道，开发者信息和分发渠道未必可信。
• 有问题的应用可能会在用户不察觉的情况下读取通讯录、短信或自动发送邀请，从而扩散并窃取联系信息。
• 简单看界面很容易被信任，真正的风险藏在域名、HTTPS证书、应用签名与权限请求里。

二、先看域名与网页证书（适合不太懂技术的用户）

• 不要直接点击朋友圈里的短链或外部下载按钮。先长按链接，复制并在浏览器地址栏粘贴查看完整域名，注意拼写错误或类似字符（例如 99tk-xx、99tk.gallery 等）。
• 打开链接后看浏览器左上角的“锁”图标（HTTPS padlock）：点它可以查看证书信息。安全的证书通常由知名CA签发（例如 Let’s Encrypt、DigiCert 等），且证书主题应与域名匹配，证书有效期也要正常。
• 如果浏览器显示“不安全”或证书有问题（域名不匹配、过期、自签名），应立即关闭页面并不要下载任何文件。
• 进阶检查：可以用在线工具如 SSL Labs（Qualys）或 crt.sh 查询域名的证书历史；也可以让懂技术的朋友用 openssl 检查证书指纹（例如：openssl s_client -connect 域名:443 | openssl x509 -noout -fingerprint -sha256）。

三、查看应用来源与签名（Android 用户重点）

• 首选渠道：Google Play 或 Apple App Store。第三方应用市场或直接 APK 下载风险更高。App Store/Play 的条目页面能看到开发者信息与用户评价，先检索应用名+开发者，看是否有官方页面或媒体报道。
• 在 Android 上，如果你确实拿到了 APK：
• 用 apksigner 或 keytool 查看签名信息：apksigner verify --print-certs yourapp.apk 或 keytool -printcert -jarfile yourapp.apk。比较证书指纹（SHA-256）是否与官方发布的一致（如果官方提供）。
• 在安装前用 APK 检测网站/服务（如 VirusTotal）上传 APK 扫描，查看是否被多家引擎标记为可疑。
• 注意包名（package name），恶意或伪造应用往往使用混淆或近似官方包名来迷惑用户。
• 在 iOS 上：
• 若出现“企业级证书”或要求你去“设置->通用->设备管理”信任某个描述文件，极可能不是通过 App Store 发布，风险高。
• 验证是否有官方来源链接（开发者官网或 App Store 正式条目）。

四、权限与行为观察（安装前后都要看）

• 安装时检查权限列表：通讯录（Contacts）、短信（SMS）、拨打电话、获取设备信息、可访问性服务（Accessibility）等属于高危权限。普通图库不应要求读取通讯录或可访问性权限。
• 如果应用第一次运行就要求开启“可访问性”或“后台常驻”并解释为“更好体验”，务必谨慎。可访问性权限一旦被滥用，可能会读取屏幕内容或模拟用户操作。
• 安装后短时间内观察流量与行为：是否频繁尝试访问外部域名、是否自动发起邀请或发送短信、是否悄悄上传联系人等。对普通用户，可注意电量异常耗损、流量猛增或手机联系人被异常更改。

五、发现可能被采集后的补救步骤

• 立即断网（Wi‑Fi 关闭/飞行模式），然后卸载可疑应用。
• 在系统设置里撤销该应用的所有权限（通讯录、短信、存储、可访问性等），并删除其缓存与数据。
• 改变可能被暴露的关键凭证（如绑定手机的验证码服务、重要账号的登录密码和二步验证）。
• 对于可能暴露的联系人，尽量知会亲友提醒他们警惕来自你名义的异常消息或邀请。
• 在 Google 帐号或 Apple ID 中检查并撤销不明第三方授权（如 OAuth 授权）。
• 用可信的移动安全软件或专门的检查工具进行扫描，必要时重置手机（备份重要数据并谨慎恢复）。

六、对技术用户的快速命令参考（自检用）

• 查看 HTTPS 证书指纹（Linux/macOS）：
• echo | openssl s_client -connect 域名:443 2>/dev/null | openssl x509 -noout -fingerprint -sha256
• 查看 APK 签名（需 Android SDK build-tools）：
• apksigner verify --print-certs app.apk
• 上传可疑 APK/URL 到 VirusTotal 做多引擎扫描。

七、如何报告与阻止传播

• 在微信朋友圈或群里发现疑似恶意传播，尽量提醒发布者并私下告知来源风险；若是已广泛传播，可在群里发布核验提醒，避免进一步扩散造成更多人中招。
• 向微信投诉该链接或小程序，向应用市场举报恶意应用，必要时向当地网络安全机构或 CERT 报告。

八、总结性建议（简明版）

• 不要随意点击朋友圈短链或下载不明来源的安装包；优先从官方应用商店获取软件。
• 先看域名与证书，再看开发者与包名；安装前检查权限请求是否合理。
• 如果应用要求读取通讯录或可访问性权限而与其功能严重不符，应拒绝并卸载。
• 发现问题及时撤销权限、改密并告知可能受影响的联系人。