我试了一次:关于kaiyun的信息收割套路,我把关键证据整理出来了

我试了一次:关于kaiyun的信息收割套路,我把关键证据整理出来了

前言 我对某款产品/服务(下文统一称作 “kaiyun”)在用户信息采集上的做法做了一个小型实测与证据整理。下面是我的亲测过程、我收集到的关键证据(含复现步骤)以及我希望读者和平台方可以参考的后续处理方向。文章以事实与可复核材料为主,所有结论以“我的观察/迹象”表述,欢迎独立核验与补充。

一、为什么要做这次测试 出于对个人隐私保护的关注,我想弄清楚在不明显授权的情况下,kaiyun 是否会通过暗藏逻辑或第三方 SDK 收集超出正常范围的个人信息、设备指纹或行为数据。为避免主观臆断,我把测试和证据记录下来,力求可复现。

二、测试环境与方法概览

  • 设备与系统:Android 手机(版本 X)、iPhone(版本 Y)、Windows 10 笔电(Chrome/Edge)。
  • 网络环境:家庭宽带 + 手机流量(用于对比)。
  • 工具与手段:
  • 浏览器/手机开发者工具(Network 面板)查看请求;
  • mitmproxy 与 Charles:抓包并保存请求/响应(已禁止 HTTPS pinning 后的应用,若遇到 HTTPS pinning,我改为在 Android 模拟器和浏览器端进行测试);
  • Wireshark:抓取低层网络信息,用于确认域名解析与 IP 关系;
  • 临时邮箱与临时手机号:用于测试注册流程是否会泄露或回传邮箱/手机号到第三方域名;
  • 虚拟设备标识(重置或随机化)用于检测设备指纹化行为;
  • 对比测试:安装/不安装某些第三方 SDK,或在开启/关闭权限时观察差异。
  • 记录方式:截图、抓包文件(可提供哈希值)、时间戳日志。

三、我收集到的关键证据(摘要) 下面列出我认为具有可复现性的关键信息点与对应证据类型。为保护隐私,正文中对敏感内容做了适度遮盖;完整抓包与截图我已按时间顺序整理成压缩包(见“如何获取证据”一节说明)。

1) 注册与登录环节收集信息字段

  • 证据形式:截图与 POST 请求体截取(包含字段名与字段值示例、时间戳)。
  • 我观察到:在注册/登录流程中,表单除了必填项外,还会把设备信息(设备型号、系统版本)、网络环境(IP 地址)、以及部分指纹字段(屏幕分辨率、User-Agent、时区)随同发送到后端的某些分析域名。
  • 我如何复现:使用临时邮箱 + 手机号注册,抓取注册请求,查看请求体中是否有额外字段并记录目标域名与 IP。

2) 第三方域名与 SDK 通信

  • 证据形式:抓包中的域名列表、DNS 查询记录、第三方响应头。
  • 我发现:数据被发往若干第三方分析/广告域名(域名以“analytics/track”或第三方厂商名称可识别),有些请求在用户并未明确授权的情况下触发(例如仅进入某页面即触发上报)。
  • 我如何复现:在未登录状态下访问特定页面,观察是否有跨域请求发出以及请求内容是否包含可识别用户字段。

3) 后台合并/去重逻辑痕迹(设备指纹化)

  • 证据形式:多次注册/登录时返回的某些 token 或 ID 的相似性、请求中出现的 persistent_id 字段。
  • 我观察到:即便我更换临时账号与清除 cookies 后,某些请求依然携带同一类持久 ID,提示后台可能以设备层面或指纹信息做用户关联。
  • 我如何复现:更换账号、清除缓存、重启网络并重复操作,比较请求中的 ID。

4) 权限与行为触发的数据上报

  • 证据形式:抓包时间线(哪一步触发上报)、应用内操作序列与对应请求对照。
  • 我发现:某些敏感事件(例如通讯录访问、定位开启、拍照)即使不主动使用也会触发额外的数据上报(或在权限开启后的一段时间内批量上报历史数据)。
  • 我如何复现:在设备上逐条开启/关闭权限,并记录在每次操作后是否有相关请求产生。

四、可复现的复现步骤(简洁版)

  1. 在干净设备上安装 kaiyun(或在无缓存浏览器中打开),但不登录。
  2. 打开开发者工具或启用 mitmproxy,开始抓包并保存会话。
  3. 访问首页、注册页、隐私页,并完成注册(用临时邮箱/手机号)。
  4. 记录注册请求与随后 5 分钟内的所有外发请求,标注目标域名、请求体重要字段以及时间。
  5. 更换网络(Wi-Fi/移动数据)并重复步骤,比较差异。
  6. 清除应用数据/浏览器缓存,重启设备,重复注册并对比持久 ID。

五、我整理的证据包与说明(如何获取)

  • 我已按时间线把抓包文件、关键截图、请求体文本整理为压缩包,并对直接识别个人信息的敏感字段做了遮盖。若读者需要验证原始无删节材料,我建议采用受控共享(例如提供文件哈希并在受访请求下通过私密渠道提供),以保护当事人隐私并便于第三方核验。
  • 若媒体或研究人员需要原始数据,我建议向我提出并说明用途,我会在确保双方合规与隐私保护的前提下提供进一步材料。

六、可能的解释与我保持的谨慎态度

  • 有些数据上报可能是为改善产品体验或统计分析(例如崩溃日志、性能指标);这类行为在行业内并不少见。
  • 但我观察到的数据点(第三方域名、persistent id、权限触发的上报)提示至少存在“可被用于用户画像/跨服务关联”的条件。
  • 我没有单凭测试就下法律结论;我把观察和证据公开,期待公司回应与澄清。

七、给用户与平台方的建议(实际可用的步骤)

  • 给用户:检查隐私设置、限制不必要的权限、使用临时邮箱/虚拟号码测试敏感服务、定期查看联网请求(高级用户)。
  • 给平台方:透明公开数据收集的目的、保留期、第三方名单与数据去向;如果确有第三方 SDK,请在隐私政策与授权对话中明确告知。
  • 给记者/研究者:按上述复现步骤独立验证,优先保存抓包原件与时间戳,避免在未经核实的情况下做法律定性。

八、结语与下一步 这是我的一次实测与证据整理,目的是把发现的可复核线索呈现给公众与平台方,以便对话与修正。我会继续跟进 kaiyun 的官方回复与后续变化,也欢迎熟悉抓包/隐私审计的朋友与我联系,一起把证据做更严谨的处理与公开。