V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mengyx
V2EX  ›  互联网

QQ 正在尝试读取你的浏览记录

  mengyx · 2021-01-14 20:48:41 +08:00 · 109618 次点击
这是一个创建于 1169 天前的主题,其中的信息可能已经有所发展或是发生改变。

前些天用 QQ,为了防止一些流氓行为,特地去的 MS Store 里面安装的 QQ 桌面版。

幸好之前用火绒的自定义拦截功能,设置了一些重要或敏感数据目录的保护。

拦截日志如下:

Imgur

第 1 条附言  ·  2021-01-17 00:57:25 +08:00
@qwqdanchun #21 对 QQ 的行为进行进行了逆向分析,实锤了 https://bbs.pediy.com/thread-265359.htm
第 2 条附言  ·  2021-01-17 12:50:59 +08:00

以History为关键字,最早可以追溯到9.1.5版本(2019年6月),这么说此种行为至少已经进行一年半了:

第 3 条附言  ·  2021-01-18 11:31:03 +08:00

简单总结一下:

影响范围

具体行为

  1. 登录10分钟之后,读取浏览器浏览历史
    • 读取 %LocalAppData% 目录下所有基于Chromium的浏览器历史记录;具体见@qwqdanchun #21 的分析
    • 读取IE历史(FindFirstUrlCacheEntryW),具体见 @raion #229
  2. 对读取到的url进行md5,并在本地进行比较 @swchzq #157
  3. md5匹配的情况下,上传相应分组ID(主要为电商、股票等关键词),详见@Terang #166, @raion #229

事件进展

  • 目前,QQ 9.4.2 (发布于2021/01/17 20:32)移除了相应代码,暂停了侵害行为 (thx: @weifan #368)
  • 目前,TIM 3.3.0 (发布于2021/01/17 21:39)移除了相应代码,暂停了侵害行为
589 条回复    2021-02-15 16:20:56 +08:00
1  2  3  4  5  6  
renmu123
    1
renmu123  
   2021-01-14 21:10:40 +08:00 via Android   ❤️ 10
qq 还有一个更流氓的 qqprotect 的,安装完 qq 或 tim 后自动启动,无法关闭,关闭后 qq 将无法打开,美其名曰保护你的安全
mengyx
    2
mengyx  
OP
   2021-01-14 21:12:28 +08:00   ❤️ 1
@renmu123 #1 商店里面安装的没有 QQ Protect 。就是因为这个原因,才选择从 MS Store 安装。版本比较旧,不过能用就是了
heiyutian
    3
heiyutian  
   2021-01-14 21:17:56 +08:00 via Android
@renmu12
24 小时监控?牛逼啊,现在尽量能不用不用了。
invalid522
    4
invalid522  
   2021-01-14 21:28:46 +08:00   ❤️ 1
如果电脑有敏感文件而又不得不长期使用某些流氓软件,虚拟机或者两部 PC 的配置还是刚需……
wwqm2
    5
wwqm2  
   2021-01-14 21:32:41 +08:00
专门一个手机做这方面用途
hzqim
    6
hzqim  
   2021-01-14 21:38:31 +08:00
@mengyx 楼主能分享一下其它自定义拦截设定吗?
mengyx
    7
mengyx  
OP
   2021-01-14 21:41:33 +08:00
@invalid522 #4
@wwqm2 #5
确实 当时大意了
mengyx
    8
mengyx  
OP
   2021-01-14 21:45:44 +08:00   ❤️ 8
@hzqim #6 我的话,主要就是
- SSH(和 Key)数据 C:\Users\XXX\.ssh
- GPG 数据 C:\Users\XXX\.gnupg
- 微信数据 C:\Users\XXX\Documents\Tencent Files
- 浏览器数据 C:\Users\XXX\AppData\Local\Microsoft\Edge C:\Users\XXX\AppData\Local\Google\Chrome
jasonreg
    9
jasonreg  
   2021-01-14 21:48:35 +08:00 via iPhone   ❤️ 1
可以试试 Windows Sandbox
BwNVlwSq
    10
BwNVlwSq  
   2021-01-14 22:02:53 +08:00 via iPhone
没想到 QQ 这么骚……
hzqim
    11
hzqim  
   2021-01-14 22:08:47 +08:00
@renmu123 #1 用绿色版。
yanzhiling2001
    12
yanzhiling2001  
   2021-01-14 22:14:47 +08:00
自动看过一个帖子,tim 会读取梯子配置文件之后,我就重装系统,把大部分全丢尽虚拟机了,物理机唯一的一个国产软件就是雷神加速器。
qa63842
    13
qa63842  
   2021-01-14 22:22:03 +08:00 via Android
没想到啊
Cooky
    14
Cooky  
   2021-01-14 22:23:32 +08:00 via Android
sandboxie 还能用
mengyx
    15
mengyx  
OP
   2021-01-14 23:00:51 +08:00
@jasonreg #9
@Cooky #14
其实电脑里面都有,有时候就是因为懒,甚至只是一不留神……
Mac
    16
Mac  
   2021-01-14 23:02:44 +08:00
有啥火绒的规则可以分享伐?我都是默认的
mengyx
    17
mengyx  
OP
   2021-01-14 23:10:16 +08:00   ❤️ 1
@Mac #16,我电脑里面没什么个人文件,所以只上了#8 里面几条
其他的可以去火绒的论坛里面看下,https://bbs.huorong.cn/forum.php?mod=forumdisplay&fid=45&filter=typeid&typeid=61
其实想一想哪些数据对自己重要,整个目录包含进去,只允许对应的程序读取就好
mengyx
    18
mengyx  
OP
   2021-01-14 23:11:21 +08:00   ❤️ 1
@mengyx #8 勘误
微信数据是 C:\Users\XXX\Documents\Wechat Files
C:\Users\XXX\Documents\Tencent Files 是 QQ 的数据,贴错了
Cooky
    19
Cooky  
   2021-01-14 23:16:45 +08:00
@mengyx 那就别在电脑开了,手机开 TIM,权限管严点,scrcpy 在电脑用
SekiBetu
    20
SekiBetu  
   2021-01-15 03:16:48 +08:00
国产软件没办法的
qwqdanchun
    21
qwqdanchun  
   2021-01-16 16:20:35 +08:00   ❤️ 25
其实不是针对 Chrome,https://bbs.pediy.com/thread-265359.htm
brainor
    22
brainor  
   2021-01-17 07:21:04 +08:00   ❤️ 4
@qwqdanchun 这也太搞笑了…澄清了不是爬了 Chrome 的历史文件,而是爬了所有浏览器的历史文件哈哈
brainor
    23
brainor  
   2021-01-17 07:32:25 +08:00
@qwqdanchun 不仅是历史文件,我突然想到各个浏览器的 cookies 从外部也是能直接访问到的,不知道 QQ 有没有这样的行为呢?
monsterX
    24
monsterX  
   2021-01-17 09:31:55 +08:00 via Android
@brainor 按照#21 的分析来看,应该只是浏览记录
SekiBetu
    25
SekiBetu  
   2021-01-17 10:59:50 +08:00
请问有什么解决办法吗,发现读取的不止一个软件
qwqdanchun
    26
qwqdanchun  
   2021-01-17 11:00:46 +08:00
@SekiBetu 类似火绒 hips 之类的软件都可以
shanliang
    27
shanliang  
   2021-01-17 11:03:46 +08:00
mac 上能复现吗?
momocraft
    28
momocraft  
   2021-01-17 11:18:12 +08:00
win store 的 uwp 版去年年底起无法新登录. 现在 win store 能用的只有那个 exe 版, 结果还这么猛.
gxgxxn
    29
gxgxxn  
   2021-01-17 11:20:35 +08:00
@renmu123 大半年没打开过 QQ 发现 QQProtect 竟然还作为服务运行这,而且不能停止。。。
momocraft
    30
momocraft  
   2021-01-17 11:22:21 +08:00
如果还是想用 uwp 的 exe 版 qq (猜测相比腾讯自己发布的, 可能已经是洁版了) 可以用 sandboxie 等东西跑吗?
mengyx
    31
mengyx  
OP
   2021-01-17 11:29:54 +08:00
@shanliang #27 目前都是在 Windows 上面测试的;理论上 Mac 上面也可以读取,你可以验证一下试试
qwqdanchun
    32
qwqdanchun  
   2021-01-17 11:30:17 +08:00
@shanliang 没有 mac 设备,等一手别人的后续分析
mengyx
    33
mengyx  
OP
   2021-01-17 11:31:43 +08:00
krisitina
    34
krisitina  
   2021-01-17 11:38:42 +08:00   ❤️ 2
https://github.com/milkice233/efb-qq-slave
可以试试这个吧, 微信 QQ telegram 一把梭
Les1ie
    35
Les1ie  
   2021-01-17 11:40:41 +08:00   ❤️ 2
chenjian026
    36
chenjian026  
   2021-01-17 11:45:09 +08:00 via Android
国内很多大众化的软件都会读取你的 V2RAY 文件夹
Williams2008
    37
Williams2008  
   2021-01-17 11:50:16 +08:00 via Android
@momocraft 麻花疼远程施法?看来只能上虚拟机了,流氓快要把我逼成技术专家了
sublimevsatom
    38
sublimevsatom  
   2021-01-17 11:55:14 +08:00
看到这个,我想到了这个腾讯 doh 的 edns client subnet 的支持,是直接发送整个本地 ip 公网地址的,
阿里的 doh 也没有这样做,它是发送本地 ip 地址的 /24 。
cloudflare 和 google 的 doh 也是没有这样做的。
所以,我想,在腾讯面前根本就没有隐私吧
talen666
    39
talen666  
   2021-01-17 12:01:05 +08:00
法律不管,很难处理
jarodlee
    40
jarodlee  
   2021-01-17 12:01:29 +08:00
腾讯真是太牛 B 了....只能说以后 QQ 请到虚拟机中运行吧,惹不起
gstqc
    41
gstqc  
   2021-01-17 12:11:21 +08:00
澄清一下:我不是针对谁,我是说在座各位,都被我扒光了
tearslee
    42
tearslee  
   2021-01-17 12:12:27 +08:00
看了 https://bbs.pediy.com/thread-265359.htm 的文章,吓得我立马建了个规则,靠
Rainyf
    43
Rainyf  
   2021-01-17 12:17:26 +08:00
我一直以为国产软件是直接抓包偷信息的。。。。
仅看 qq 偷 chrome 记录的事,无痕浏览就可以防了?
aceralon
    44
aceralon  
   2021-01-17 12:21:03 +08:00   ❤️ 15
可以通过
Windows 安全中心-病毒和威胁防护-勒索软件防护-文件夹访问限制
来阻止访问,然后通过允许应用允许浏览器访问这些文件夹
zhxhwyzh14
    45
zhxhwyzh14  
   2021-01-17 12:24:58 +08:00 via Android
@aceralon 好方法,谢谢分享
est
    46
est  
   2021-01-17 12:26:16 +08:00   ❤️ 4
chrome 启动参数

--user-data-dir=/opt/other/my.chrome

不用谢。
TheEastWind
    47
TheEastWind  
   2021-01-17 12:30:08 +08:00
@mengyx 楼主说,“前些天用 QQ,为了防止一些流氓行为,特地去的 MS Store 里面安装的 QQ 桌面版。”就是你链接里的那个
bihui
    48
bihui  
   2021-01-17 12:30:16 +08:00
所以大佬,自定义拦截在哪儿?
BigbyWolf
    49
BigbyWolf  
   2021-01-17 12:34:09 +08:00   ❤️ 1
https://github.com/sandboxie-plus/Sandboxie
都侵入式审核了,也是因为"如果非用不可的话"。
chinvo
    50
chinvo  
   2021-01-17 12:38:45 +08:00 via iPhone   ❤️ 1
澄清一下:我们 QQ 不是针对 chrome 你一家
BFDZ
    51
BFDZ  
   2021-01-17 12:46:49 +08:00
安卓手机也会读吗?手机没有自定义文件防护,文件读取只能全局放行
duebasser
    52
duebasser  
   2021-01-17 12:47:30 +08:00
哦豁,导入社区分享的规则失败,新版本好像只能手动导入
festoney8
    53
festoney8  
   2021-01-17 12:48:14 +08:00
process monitor 过滤规则 Path 包含 History 有惊喜,连 Chrome 插件的 history 都没放过
NSAgold
    54
NSAgold  
   2021-01-17 12:48:48 +08:00
@duebasser 因为你用的规则 json 是针对旧版本的 打开 json 会发现明显的“3.0”字样 新版的是“5.0”字样
ifxo
    55
ifxo  
   2021-01-17 12:50:15 +08:00   ❤️ 1
十几年前就是这样,lz 还跟发现新大陆了一样。。。
skadi
    56
skadi  
   2021-01-17 12:53:22 +08:00
笑死.
myself659
    57
myself659  
   2021-01-17 12:56:02 +08:00
数据加密解决大部分问题,所以区块链走起来
Nobody443
    58
Nobody443  
   2021-01-17 12:57:01 +08:00
楼主能不能分享一下规则
mengyx
    59
mengyx  
OP
   2021-01-17 12:57:31 +08:00
@ifxo #55 倒不是吧,以前也对这些目录开启的监控和限制;这还是第一次发现未授权读取的
mengyx
    60
mengyx  
OP
   2021-01-17 12:58:21 +08:00
@imacyho #58 见 #8 #17
JasperHale
    61
JasperHale  
   2021-01-17 12:59:46 +08:00   ❤️ 5
win10 沙盒.支持配置文件挂载指定文件夹,MS Store QQ 桌面版可以提取,挂在沙盒运行,体验很好.
不过沙盒太精简了,需要把宿主机的 X:\Windows\SysWOW64 挂到沙盒,配置只读.之后就能正常运行了.
测试过常用的,微信,百度网盘等等都能正常运行,除了迅雷,一开沙盒就挂,原因未知,不排除版本问题.

参考
> [win10 沙盒配置文件]( https://docs.microsoft.com/zh-cn/windows/security/threat-protection/windows-sandbox/windows-sandbox-configure-using-wsb-file)
Biggoldfish
    62
Biggoldfish  
   2021-01-17 13:00:15 +08:00   ❤️ 1
@aceralon
感谢分享,但这个功能好像是默认信任了许多软件?

我自己尝试将一个目录添加到 Protected folders 里面,没有额外添加 Chrome 到信任目录,但仍然可以直接从 Chrome 里读取该目录的内容( Wechat store 版本同样可以读取)。在添加信任应用的页面有说明,Apps determined by Microsoft as friendly are always allowed 。如果这样的话,可能 QQ 等都会在默认的信任列表里?(毕竟该有的数字签名都有
xou130
    63
xou130  
   2021-01-17 13:00:51 +08:00   ❤️ 1
成功复现,用火绒就行。提个意见,火绒的自定义能白名单就更好了,指定一个 exe 只能访问哪些目录和文件
aloxaf
    64
aloxaf  
   2021-01-17 13:03:00 +08:00   ❤️ 22
让我来猜猜腾讯会怎么应对:

1. 压热度,冷处理
2. 声称是程序员个人行为
3. 声称是测试代码,误操作编译到了正式版中
4. 声称是代码写错了,本意只是整合 QQ 浏览器历史记录
5. 声称是为了某功能(比如恶意网址识别?)而收集的,一切数据只保留在本地
TypeError
    65
TypeError  
   2021-01-17 13:03:01 +08:00
@Biggoldfish #62 我添加 Chrome 的 user data 目录到保护文件夹后,Chrome 访问也默认阻止了
JasperHale
    66
JasperHale  
   2021-01-17 13:04:48 +08:00
回复不支持 markdown 又忘了....
@mengyx 这个分析贴,,😂,,
ziseyinzi
    67
ziseyinzi  
   2021-01-17 13:04:57 +08:00   ❤️ 15
有没有可能就是:腾讯只是被迫这么做,想知道你浏览记录的不是腾讯,而是别的什么组织呢?一个猜想,不一定对。
ScrapW
    68
ScrapW  
   2021-01-17 13:06:52 +08:00
有没有办法让火绒禁止 qq 访问 appdata 下除了 qq 以外的所有文件夹
TypeError
    69
TypeError  
   2021-01-17 13:08:27 +08:00   ❤️ 1
@ziseyinzi #67 我猜有两个目的,一是为了收集访问记录搞用户画像卖广告,二是作为 Wei Wen 工具,为组织上报“不法”行为
zhxhwyzh14
    70
zhxhwyzh14  
   2021-01-17 13:12:59 +08:00 via Android
@TypeError 加入百名单
zhxhwyzh14
    71
zhxhwyzh14  
   2021-01-17 13:13:23 +08:00 via Android
@TypeError 把 chrome.exe 加入白名单。
TypeError
    72
TypeError  
   2021-01-17 13:13:38 +08:00
@zhxhwyzh14 #70 我知道,就是看下拦截能力怎么样
JBaker
    73
JBaker  
   2021-01-17 13:14:45 +08:00
如果只是想要干掉读取历史记录这么一条的话,加一条 *\User Data\Default\History 的规则就可以了。
不过如果想保护更多东西的话,还是自己写记录比较好,写覆盖全一点的。
yukiww233
    74
yukiww233  
   2021-01-17 13:18:06 +08:00   ❤️ 2
tim 复现了
还不让在沙盒里跑,吐了
Biggoldfish
    75
Biggoldfish  
   2021-01-17 13:18:24 +08:00
@TypeError
感谢,我把 Chrome 的目录添加进去确实访问会被弹窗限制
lio444
    76
lio444  
   2021-01-17 13:18:42 +08:00
@mengyx
感觉分享,已经设置一波。
Ayersneo
    77
Ayersneo  
   2021-01-17 13:18:43 +08:00 via Android
@aloxaf 我总感觉腾讯不会回应😥
littlewing
    78
littlewing  
   2021-01-17 13:20:42 +08:00
很好奇,Mac 能防住这种流氓吗,从 App Store 安装软件的版本
vate32
    79
vate32  
   2021-01-17 13:24:05 +08:00
@aceralon 用 Windows 安全中心的这个方法好像默认会添加\Documents 等文件夹为保护对象,还不能删除。但是 QQ 必须需要这个用作保存聊天记录等,只能放行,但是放行的话,好像对所有的目标都放行了。。。
hellokt
    80
hellokt  
   2021-01-17 13:24:51 +08:00
看来国产软件完全不能用了, 腾讯就是流氓中的流氓,
话说到工信部的不良于垃圾信息举报中心(12321.cn)去投诉会有用吗?
yanqiyu
    81
yanqiyu  
   2021-01-17 13:27:11 +08:00 via Android   ❤️ 3
好家伙,幸好我是 Linux 桌面用户,根本安装不了 QQ (那个 Linux QQ 隔三差五掉线)
Kagari
    82
Kagari  
   2021-01-17 13:27:39 +08:00 via Android
@myself659 #57 不是这个问题,数据加密了用的时候还是得解密,密钥不照样得存在本地。所以是在我们信任的设备上出现了不受信任的软件
t6attack
    83
t6attack  
   2021-01-17 13:27:55 +08:00   ❤️ 4
用给 win 服务器做安全配置的方法,对个人 PC 也做精细化的权限配置,可以解决这个问题。但这样用电脑太不方便了。
新建一个低权限帐号,把你不想让它访问的目录一律“完全拒绝”。然后给 QQ 快捷方式加上 runas 参数。
更直观的说明:按住 shift,右键单机 应用程序 /快捷方式,有一个“以其他用户身份运行”,就是这个功能。指定一个你准备好的超低权限帐号就行。
jiuqimax
    84
jiuqimax  
   2021-01-17 13:30:43 +08:00 via Android
太可怕了,已经不敢用 qq 了
Nobody443
    85
Nobody443  
   2021-01-17 13:31:12 +08:00
@zhxhwyzh14 #71 请问怎么加入白名单,自定义防护里没有找到
cxx0739
    86
cxx0739  
   2021-01-17 13:32:00 +08:00 via Android
已卸载
JBaker
    87
JBaker  
   2021-01-17 13:32:33 +08:00   ❤️ 1
Firefox 的历史记录存在 C:\Users\*\AppData\Roaming\Mozilla\Firefox\Profiles\随机文件夹
有兴趣的同志们可以试着加一下规则看看,看看能不能弹出提示。
我加了一下,就只有 Firefox 弹出来过一次,QQ 目前还是没有考察那里的。当然不排除以后会考察那里的可能性。
ooooo
    88
ooooo  
   2021-01-17 13:34:24 +08:00
尼玛 !

这不是那些流氓间谍木马才干的事吗 ???
godling
    89
godling  
   2021-01-17 13:35:33 +08:00
@littlewing 同样好奇。mac 的设置里有个 full disk access,没有给 qq 权限不知道是不是就安全了
everydaystruggle
    90
everydaystruggle  
   2021-01-17 13:35:52 +08:00
求证,mac 上有类似风险么?微信呢?谢谢。
zinplus
    91
zinplus  
   2021-01-17 13:37:23 +08:00
@hellokt #80 多谢提供链接,已经举报。举报过程中是否留下联系方式是可选的。
ifxo
    92
ifxo  
   2021-01-17 13:39:11 +08:00   ❤️ 2
@mengyx 因为腾讯也是分批次或者随机挑选的读取,不可能实时监控全世界的电脑,也没那力量,就是要混淆视听,有的人说读取了,有的人说没读取,让你摸不着头脑,不可能像你说的前些天才开始,不然咋会有 3q 大战发生,当初 360 抓 qq 现行,那都是 10 年前了吧
Victrid
    93
Victrid  
   2021-01-17 13:39:24 +08:00   ❤️ 60
请各位注意,你们使用逆向工程方法分析腾讯公司的 QQ 软件的行为,是对腾讯公司知识产权产品的窃取,已经构成非法获取计算机信息系统数据、非法控制计算机信息系统罪。

另外,你们运用火绒干扰腾讯公司的 QQ 软件,已经导致其不能正常收集用户的浏览记录与文件,构成破坏计算机信息系统罪。火绒博锐(北京)科技有限公司提供了非法侵入、修改、干扰腾讯公司的 QQ 软件正常运行的工具,已经构成提供侵入、非法控制计算机信息系统程序、工具罪。

如果你们尽快自首,交代犯罪事实,积极消除你们对腾讯公司造成的不利影响,还可以争取宽大处理。
tsingjyujing
    94
tsingjyujing  
   2021-01-17 13:39:33 +08:00   ❤️ 1
@yanqiyu Linux 用户握个手,逃离 Win 和这些垃圾软件真的太好了
Alphagocc
    95
Alphagocc  
   2021-01-17 13:40:06 +08:00
@t6attack 直接火绒+仅*Tencent*文件夹放行就行了
ysc3839
    96
ysc3839  
   2021-01-17 13:41:43 +08:00 via Android
@t6attack 这方法没用,QQ 要安装一个系统服务。
applesbananas
    97
applesbananas  
   2021-01-17 13:45:36 +08:00 via iPhone   ❤️ 2
成功复现 TIM 读取历史记录
https://i.loli.net/2021/01/17/iTwpF3G7uexAU2a.jpg
TypeError
    98
TypeError  
   2021-01-17 13:46:22 +08:00   ❤️ 4
@Biggoldfish @zhxhwyzh14 @ScrapW @JasperHale @aceralon @est
Windows 的保护文件夹还是不太够用,如果非得装国产,推荐把国产软件全扔 sandboxie 里

https://github.com/sandboxie-plus/Sandboxie
NekoTMG
    99
NekoTMG  
   2021-01-17 13:51:29 +08:00
@Victrid 太对了哥
yuu95
    100
yuu95  
   2021-01-17 13:51:50 +08:00 via Android
还是沙盒开起来吧。。。。 这谁受得了
1  2  3  4  5  6  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1042 人在线   最高记录 6543   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 30ms · UTC 19:18 · PVG 03:18 · LAX 12:18 · JFK 15:18
Developed with CodeLauncher
♥ Do have faith in what you're doing.