我甚至差点转发给朋友，我把这种“短链跳转”的链路追完了：你以为删了APP就安全，其实账号还在被试；立刻检查这三个设置

每日大赛392026-02-22 19:48:07

前言 — 一次差点把朋友拉下水的经历刚收到那条短链时，我差点就把它转发给朋友——文字很熟悉，页面也像极了常用服务的登录界面。好在我先把跳转链路追了一遍：短链 → 中转页 → OAuth/深度链接 → 回调到客户端。结果发现，就算你把可疑APP删掉，某些凭证和“通道”可能仍然存在，攻击者还能继续试探或重用这些通道登陆你的账号。把流程讲清楚，顺带把你现在该查的三个设置列出来，省得别人也踩坑。

短链跳转如何把“看似已删除”的账号继续试探/利用

短链常用的中转机制会把用户引导到某个含有回调参数的URL。如果这个回调触发了OAuth登录、或打开了本地app的深度链接（URL scheme / Universal Link / Android Intent），就可能把授权信息或会话令牌暴露给中间页或拦截者。
有些服务的刷新令牌或第三方授权在服务端仍然有效：即便你把某个可疑APP从手机上删掉，服务端没有撤销该APP的访问权限，攻击者仍能通过原有授权进行API调用或尝试登录。
手机上的“默认打开链接”或“URL 处理器”权限会让恶意应用在链接跳转时被优先调用，即便你之后卸载应用，相关令牌或已被第三方保存的会话可能还在被利用。
简单例子：你点开短链→被带到伪造的OAuth页面→点击授权（或不小心触发了自动跳转）→攻击者拿到某种回调或令牌→在服务端有权限下继续探测。

立刻检查的三个设置（按优先级）下面这三项一项都别省。每项都有操作指引和为何要查。

1) 第三方应用与网站访问权限（撤销可疑授权）为什么要查：很多攻击就是借用了OAuth授权或第三方API权限；删应用不等于撤销服务端的授权。怎么做（常见平台示例）：

Google 帐号：登陆→安全→第三方应用访问或“已连接的应用与网站”，查看并移除陌生或不再使用的应用。
Facebook：设置→应用与网站→移除可疑项。
Apple ID：appleid.apple.com→应用使用你的Apple ID，撤销可疑授权。一般规则：不认识、不再使用、或权限范围过大的应用全部撤销。

2) 活跃设备与会话（强制退出并重置密码以使刷新令牌失效）为什么要查：多数服务的长期访问是靠刷新令牌或活跃会话。换密码通常会使原有刷新令牌失效，从而断开已保存的连接。怎么做：

在账户安全或设备管理里，查看“你已登录的设备/最近活动设备”。把不认识的设备全部移除或选择“在所有设备上登出”。
立即修改账号密码。改密码可以配合撤销已授权的第三方来彻底断开可能的远程连接。
对于Gmail、Facebook 等，查看安全记录里是否有异常登录地理位置或登录时间，若有可向服务端申诉或启用更强的保护。注意：修改密码后再逐一重新授权你信任的设备与应用，而不是盲目全部恢复。

3) 双因素与手机权限（把短信/权限当成攻击面来管理）为什么要查：短信作为二次验证容易被拦截或被绑定转发；手机上的权限（比如 SMS、默认打开链接）会直接影响短链的风险。怎么做：

启用并优先使用基于时间的一次性密码（TOTP）如Google Authenticator、Authy，替代短信验证码。把备用恢复码保存在安全处。
检查账号绑定的手机号码与备用邮箱，确认没有陌生绑定或转发规则（例如邮箱里是否有自动转发被开启）。
Android 用户：设置→应用→选择应用→“打开默认设置/打开链接”→查看并清除不可信应用的“默认打开”权。并在“权限”里撤销对 SMS、读取短信、拨号等高度敏感权限的访问。
iOS 用户：虽然iOS对Universal Link处理更严格，但仍需留意已安装应用、检查设置里与账号相关的“帐户与密码”“邮件转发”等项。

如果怀疑账号已被控制，按这个流程处理