魅族被发现会在其手机系统截图内打上全屏水印,更重要的是水印包含了用户及设备的隐私信息。也就是说如果用户向外分享系统截图,那么其信息将会泄漏出去。水印是一个二维码,包括了 IP 地址、IMSI 码,设备序列号和设备型号信息。第三方软件的截图则不含有任何水印。据魅族手机用户Pandaria98发表文章称,其在使用魅族手机(原生 Flyme 系统)的过程中,发现偶尔在一些网站上发布自己的手机截图后,图片会出现奇怪的色块。同时,其他魅族手机发布的截图中,也有类似的情况。
起初Pandaria98以为这只是图片在上传过程中发生的压缩导致的一些画质损失,但最近发现,实际上图片上的色块并不是画质损失导致的,而是图片实实在在的被打上全屏二维码水印,将以上的图片进行调色处理后,二维码的图像变得明显(为保护隐私,本文所有二维码主体部分使用白色色块遮挡,可从四角的二维码定位点判断出这确实是二维码):
为测试自己不是个例,Pandaria98还在魅族社区找到了这样一张图:
4680542-3fc304fbaea410b1.png720x1280 20 KB 经过同样的步骤还原之后,得到了这样一张二维码:
4680542-9bf3789da8213811.png720x1280 24.1 KB 识别结果是(由于可能是断网截图,IP 信息被留空了):
#---#---#---#---#460011*****2453#95AQACQ****M7#MX6#
Pandaria98称这种现象是完全可以被复现的。复现的方法非常简单,只要截图的背景颜色较深,就会出现二维码水印。而浅色背景的截图则不会出现二维码。
Pandaria98陈述了还原步骤:该事件在网络上曝光后,魅族官方人员与Pandaria98进行了沟通:
- 使用魅族手机在 JuiceSSH 等背景颜色较深且为纯色的应用内进行系统截图,也可以对上方展示的没有二维码的图进行截图
- 此时用手机的图库查看图片,仔细看可以看到轻微的二维码
- 到酷安等发布图片将遭到压缩的网站上发布图片,获取压缩后的图片,如果直接用 Photo Editor 对原图进行编辑,可能由于图像解码库不同的原因,导致根本看不到二维码
- 使用 Photo Editor 调整
1) 打开图片,选择「色阶」,调整上方三个滑块至靠近波峰处,二维码将变得明显,点击右上角的勾保存操作(保存操作这一步下同)
2)选择「特效」-「自动对比度」,保存
3)选择「特效」-「负片」,保存
4)点击右上角的蓝色保存按钮,保存图片到指定的路径
- 识别你获得的二维码图片
与魅族官方人员对话的截图。
魅族官方答复称:
二维码水印技术的采用是为了防止 Flyme6 的信息在去年 11 月的内测阶段被泄露
二维码中的信息只包含 IP 地址、IMEI 号、SIM 卡序列号、是否是量产机型、是否为移动用户 的信息,不涉及用户的电话号码、Flyme 账号的信息
1.内测版本存在的机制,为什么会被延续到稳定版本的固件并且持续至今?
主要原因还是由于工作疏漏。内测版和稳定版使用同一套代码,我们在内测结束后未及时移除该功能。但我们在最新体验版中已经移除相关代码。您现在可以到Flyme官网下载体验版即可解决了。
2.加水印是如何防止内测版本的信息被泄露?是根据二维码识别出来的设备,停止该设备的内测推送么?
水印包含有手机SN、IMEI等信息,对于参与内部测试人员,我们都有SN信息登记,如内测版本泄漏,我们可追溯到泄露者。
3.是所有的截图都会被加上水印么?根据我的测试,只有颜色较深的图片才会被加上水印,如果是为了防止泄露,为什么不对所有的图片加水印?
是所有截图都会加上水印的。并不是因为颜色深而加上的水印,只是在特定图片(例如像您遇到的这种场景)中会比较明显。(水印做的隐蔽是为了防泄密的保护手段)
4.对于设备信息被泄露不会导致用户信息被泄露的说法我无法信服
水印信息仅包含IMEI、SN、IMSI、IP地址和机型名称——以上设备信息。并不涉及其他信息,不会导致用户信息被泄露。
5.如果仅仅是为了识别用户,为什么要加入 IP 地址这个信息?
加入IP是为了区分泄漏机器处于公司内网还是外网。(内测阶段的安全管理,原则上内部测试机器是不允许带出公司的)
原作者:Pandaria98 - 简书
原文链接(发表于简书):魅族系统截图被附上全屏二维码水印,其中包含设备信息
jianshu.com 魅族系统截图被附上全屏二维码水印,其中包含设备信息
2017 年 5 月 17 日 11:23 更新以下是我要求致歉的内容: 据目前情况可知:该问题为内测防泄漏机制但从去年十二月 Flyme6 正式发布,至今年五月中,在最新的稳定版中尚未修复这其...
/3 
