事出起因

前几天，大学同学发给我一个链接，里面是一个微信抢红包插件的介绍。大致的样子在文末给出。大致是买他们的插件可以通过他们的平台绑定微信号，设定自动抢红包并且设定抢红包的延迟（比如 100 ms）什么的。

之前我在研究 iOS 攻防的时候研究过微信的红包插件。但是从原理上来说，是通过动态链接库为微信插入了自己加入的代码（在收到红包类型信息时，调用拆开红包方法）再通过重签名进行打包。从道德上，也是为了研究 iOS 的攻防的一些知识。当我收到同学的链接时，第一个反应是，居然有人卖这个，简直不合情理。

微信自动抢红包的原理

仔细观看了链接文章内的介绍，感觉非常的不可思议，大家也可以在文末或者链接中查看。文章中介绍到，在他们的平台注册一个账号，让后再填写微信号码和从他们客服那里买来的激活码，就会成功注册并返回给你一张二维码，只要你扫描了二维码就可以自动抢红包了。并且是 24 小时关机状态都可以抢红包。

在一开始，我觉得非常不可意思。首先，我们之前接触到的红包插件，实质上是对微信 app 代码的改变。如果是通过第三方平台可以实现抢红包的话，首先：

不仅如此，及时这两点都能做到，还必须要能拦截到红包消息，但是微信的 IM 协议应该是 HTTP 的协议扩展，建立的是长连接。在应用处于前台时，通过 HTTP 扩展协议获取信息，在后台时，通过苹果 APNS 协议获取信息。到底是怎么样做到信息拦截的呢。

在和同事又仔细查阅一番后，赵鲜华同学首先发现了问题的关键所在。就是下图：

这张图片给出的二维码，在鲜华同学扫描过后发现是电脑登陆微信时，微信给出的『手机扫一扫登陆二维码』。并且图片中也指出需要『用微信识别二维码登陆即可』。

那么现在真相显而易见。实质上，是通过他人登陆你的微信，然后在 PC 端做一些手脚，实现自动抢红包。

这种自动抢红包的实现方案，不仅会让你的红包消息泄露，也会让你的所有聊天信息全部被暴露。毕竟你是在他人电脑上直接登陆了微信。

根据我大学同学的描述，这种红包插件在淘宝上售出，有人评价『用几次就不能用了』。说到底，也许对方根本不是想赚你的插件钱，也许就是想获取他人的隐私信息。

所以对于这种骗局，本人表示不能容忍，特写词文章分享，希望大家不要上当受骗。

如果想研究 iOS 的攻防，希望你也只用于研究学习。