这是一个创建于 96 天前的主题,其中的信息可能已经有所发展或是发生改变。
前些天用 QQ,为了防止一些流氓行为,特地去的 MS Store 里面安装的 QQ 桌面版。
幸好之前用火绒的自定义拦截功能,设置了一些重要或敏感数据目录的保护。
拦截日志如下:
第 1 条附言 · 94 天前
@qwqdanchun #21 对 QQ 的行为进行进行了逆向分析,实锤了 https://bbs.pediy.com/thread-265359.htm
第 2 条附言 · 94 天前
以History为关键字,最早可以追溯到9.1.5版本(2019年6月),这么说此种行为至少已经进行一年半了:
-
AppUtil.dll (有腾讯的数字签名)
- SHA256: C9FD14D538AAEFBC0624F3E50BF582C4306D7674F70518070B3D1179BFD596D7
- QQ 9.1.5 下载来源
第 3 条附言 · 93 天前
简单总结一下:
影响范围
- QQ Windows 9.0.4 (发布于2018/06/15)之后的版本 (thx: @ddsfeng #315)
- TIM Windows 3.1.0 (发布于2020/07/29)之后的版本
具体行为
-
登录10分钟之后,读取浏览器浏览历史
- 读取
%LocalAppData%目录下所有基于Chromium的浏览器历史记录;具体见@qwqdanchun #21 的分析 - 读取IE历史(FindFirstUrlCacheEntryW),具体见 @raion #229
- 读取
- 对读取到的url进行md5,并在本地进行比较 @swchzq #157
-
md5匹配的情况下,上传相应分组ID(主要为电商、股票等关键词),详见@Terang #166, @raion #229
- 第三个字符串应为
uland.taobao.com/sem/tbsearch?(来自知乎用户Harrion)
- 第三个字符串应为
事件进展
- 目前,QQ 9.4.2 (发布于2021/01/17 20:32)移除了相应代码,暂停了侵害行为 (thx: @weifan #368)
- 目前,TIM 3.3.0 (发布于2021/01/17 21:39)移除了相应代码,暂停了侵害行为
 |
101
CivAx 94 天前  2
翻页
|
 |
102
ironsky 94 天前 via Android
已经许久不用 QQ,还是卸载了放心。。。
|
 |
103
SekiBetu 94 天前
@qwqdanchun 但是似乎要自己一个一个添加,有没有从源头阻止这个行为的办法
|
|
104
CivAx 94 天前 2
卡巴斯基也抓到了,用卡巴斯基的可以参考设置。
 |
 |
105
Mithrandir0 94 天前
问题是移动端是不是也会读取?
|
 |
106
derekwei 94 天前 via iPhone 8
建议 report 给 MS Store,和 App 专项治理工作组( pip.tc260.org.cn )
|
 |
107
monsterX 94 天前 via Android
@Mithrandir0 应该做不到,移动端( android/ios)对权限的管理比较精细,没法跨应用读取数据文件
|
 |
108
f165af34d4830eeb 94 天前
@derekwei 堂下和人状告本官?
|
|
109
derekwei 94 天前
@f165af34d4830eeb 老干妈...
|
 |
110
Ljcbaby 94 天前
对不起,我这里也复现了
  |
 |
111
Dvel 94 天前
Shame ! Shame !狗日的腾讯!
|
 |
112
Lightbright 94 天前
QQ 版本 9.4.2.27658:
AppUtil.dll 偏移 0x3EE54 位置: 68 A8 0B 00 00 修改为 33 C0 40 C3 90 TIM 版本 3.2.0.21856: AppUtil.dll 偏移 0x4A8AF 位置: 68 A8 0B 00 00 修改为 33 C0 40 C3 90 大家也可以直接搜索特征码 68A80B0000 定位要修改的位置 哦对了,前提是你的 QQ/TIM 要是去除自我校验的版本哦 |
 |
113
Wicked 94 天前
sandboxie 完美,就是对 QQ 要写个批处理,先把 QQProtect 在沙盒中开了,才能开 QQ
|
 |
114
irainsoft 94 天前
append 中的看雪链接 502 了,是被打了吗?
 |
 |
115
TypeError 94 天前 via Android 2
@Mithrandir0 之前 Android 最多只能读公共存储,读不了其他 app 的,
现在国内外(工信部+Google play 政策)监管要求,公用存储权限都不用给。 Windows 用商店版+保护文件夹或者上 sandboxie 更好, Mac 也只能用商店版+别给磁盘目录权限 |
 |
116
ytoworld 94 天前 12
啊不是发现这种情况的一般流程不应该是举报 /起诉 App 开发者侵犯隐私权吗
看来大家都默认某国监管机构不会管了. |
 |
118
brucmao 94 天前
主机已经卸载,在 win7 虚拟机安装 qq 了,把以前的 qq 消息共享给虚拟机的 qq
|
 |
119
imycc 94 天前
当年 3Q 大战的图还能搬出来用吗
看到这个贴已经把 QQ 卸载掉了,然后挂着 procmon 观察微信有没有访问 AppData\Local\。。。 |
 |
120
yangzhaofeng 94 天前
@CivAx 是直接把 qq 放到高限制組嗎?這樣好像會無法正常運行
|
 |
121
janus77 94 天前
你们真的是,太能折腾了,直接 QQ 绿色精简版一把梭就完事了。你禁了这个天知道还有什么其他的后台行为
|
 |
122
ooooo 94 天前
@TypeError
楼主上的图就是 win10 上面的 Microsoft store 微软商店的版本 绝大多数人以为这个是纯净版 谁知道这个版本也存在搜集窃取用户硬盘上隐私数据的行为 所以大家才这么吃惊 |
 |
123
qwqdanchun 94 天前
@imycc 微信没有,至少我没有找到
|
|
124
CivAx 94 天前
@yangzhaofeng #120 先在 “管理资源” 工具里的任意目录添加任何你想保护的文件或文件夹,然后选中这个新添加的 “项目”,在右侧的列表里,禁用掉你想阻止访问这个 “项目” 的应用。
|
|
125
SekiBetu 94 天前
C:\Users\*\AppData\Roaming\Mozilla\Firefox\Profiles\*.default*\places.sqlite 火狐的用户记录一般存在这个数据库里
|
 |
126
wlgq2 94 天前 via Android
肉身才是出路
|
|
127
SekiBetu 94 天前
@janus77 一般的绿色精简版不会禁止这种操作的,大多只是禁止后台上报,但是禁止了之后会有一些副作用,比如 QQ 群文件界面打不开,加好友界面打不开,这个都是一刀切,具体要把这种行为禁了的办法真不知道怎么弄
|
 |
128
tediorelee 94 天前
会不会进水深火热了
|
 |
130
lio444 94 天前
在文件规则的下面一个框中输入 “ *\User*Data\Default* ”,如图所示,不要引号,星号要有。下面保护的动作全部勾选,注意下方选择“询问我”而不是“直接阻止”。
https://www.bilibili.com/read/cv9314384 分享规则。 |
 |
131
iVeego 94 天前
有办法投诉吗?
|
 |
132
dyc233 94 天前 via Android
还让不让人好好冲浪了啊
|
 |
135
sunnywqf 94 天前 via iPhone
卸载能还我清静嘛? tx 这流氓
|
 |
137
chenjian026 94 天前 via Android 1
这个论坛真搞事😆
|
 |
138
pepsi537 94 天前
mac 版的 QQ 也会这样吗(开始担心)
|
 |
140
nuevepicos 94 天前
wc !
那 mac 版 QQ 呢? 有没有人扒一下。 |
 |
141
lifetimeporn 94 天前
扫描全能王
|
 |
143
inhd 94 天前
@nuevepicos 同求扒一下 QQ for Mac
|
 |
145
mengyx 94 天前
@pepsi537 #138
@nuevepicos #140 简单地反编译了一下,没有搜索到 Default/History 相关的字符组合,应当是没有相应行为的。 不过没办法确认,还是需要运行下查看监控其行为(手边没有 Mac,你们可以试试 |
 |
146
made 94 天前 via iPhone
要不换个思路,QQ 国际版看看有没有,有的话给举报到美国和欧盟区,尤其是欧盟对这个可敏感了
|
 |
148
clockcloud 94 天前 20
转载:
请各位注意,你们使用逆向工程方法分析腾讯公司的 QQ 软件的行为,是对腾讯公司知识产权产品的窃取,已经构成非法获取计算机信息系统数据、非法控制计算机信息系统罪。 另外,你们运用火绒干扰腾讯公司的 QQ 软件,已经导致其不能正常收集用户的浏览记录与文件,构成破坏计算机信息系统罪。火绒博锐(北京)科技有限公司提供了非法侵入、修改、干扰腾讯公司的 QQ 软件正常运行的工具,已经构成提供侵入、非法控制计算机信息系统程序、工具罪。 如果你们尽快自首,交代犯罪事实,积极消除你们对腾讯公司造成的不利影响,还可以争取宽大处理。 |
 |
150
12101111 94 天前
这种事情是不是应该固定证据报案? 应该是刑事犯罪吧
|
|
153
lifetimeporn 94 天前
都先别急着卸载,到时候投诉需要证据,等会你们就没法安装之前的那个安装包了,所谓“整改”,给你加一层 anti-debug
|
|
154
lifetimeporn 94 天前
加一层 anti-debug 继续窃取用户数据,美滋滋
|
 |
155
weifan 94 天前
所以,哪位大佬可以总结一下应该防护哪些目录😂P 、X 站的记录全被搂走了...
|
 |
156
CrazyMoon 94 天前
@clockcloud 真实,难怪安全厂商不敢揭发
|
 |
157
swchzq 94 天前 33
逆向了 qq 的逻辑, 大概干了以下事情:
1. 扫描 IE, chrome, edge 等浏览器的浏览记录 2. 对 url 的部分内容进行 md5, 与 4 个硬编码的 md5 进行比较 3. 如果 md5 比较成功, 将 url 上报至服务器 因为 url 被 md5 了, 不知道 qq 实际想检测什么 url, 所以我写了个脚本( ), 大家可以试试看自己有没有访问这几个 md5 值对应的 url 使用方法, 将```%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\History```文件拷贝至某个文件夹, 下载上面的脚本至相同文件夹, 然后用 python 运行脚本 |
|
158
lifetimeporn 94 天前 2
 腾讯:用户数据为资本,做最基本的通讯软件,用最下三滥的手段 腾讯安全:有实力,无所惧,一会就给你 anti-debug,你们不能逆向我,就没有我窃取你们数据的证据了。我有这反逆向实力,无所惧你们投诉 腾讯新闻:这下你们开眼界了? |
|
159
lifetimeporn 94 天前
现在一句句标语看着就贼讽刺
|
 |
160
Dwayne 94 天前
我偷偷上网冲浪被发现了
 |
|
161
TypeError 94 天前 via Android
@lifetimeporn 腾讯就是个 Facebook 第二,业务模式都差不多,聊天软件+游戏+广告,Facebook 每个隐私丑闻,腾讯身上都能找到更恶劣的
|
 |
162
flyn 94 天前
这么多楼,不知 History 目录不在 Appdata 目录下的会被读取吗
|
 |
163
Decent 94 天前 via iPhone
果然免费的就是最贵的
|
 |
164
Terang 94 天前
@swchzq https://sm.ms/image/hxiVvDNsf2lFJ7u 网上找到一个解密图
|
|
166
Terang 94 天前 5
|
|
167
swchzq 94 天前 7
@Terang
我验证了下,解密图里内容是正确的,tks @derekwei 根据 https://sm.ms/image/hxiVvDNsf2lFJ7u 看,是各大电商(淘宝,天猫,jd 等)的搜索历史 |
 |
168
zhxhwyzh14 94 天前 via Android
@swchzq 看解密图都是购物相关?
|
 |
169
oovveeaarr 94 天前
@mengyx LZ 方便分享一下自定义防护的规则吗?感谢感谢
|
 |
170
howellz 94 天前 2
流弊啊,要是能脱离微信该特么多幸福啊。
|
 |
171
fline 94 天前 via iPhone 8
我之前在一个讨论内存大小的帖子里说微信 QQ 装虚拟机,还被人一顿嘲讽╮( ̄▽ ̄"")╭
|
|
172
zhxhwyzh14 94 天前 via Android
@TypeError 谢谢,windows 自带的好像不能阻止读取
|
|
173
Terang 94 天前
|
 |
174
DannyVim 94 天前
@aceralon #44
请问我把 AppData\Local 直接放进保护了,为什么 QQ 还是可以访问呀?而且我一直等不到安全中心跳出来被阻止的提示(但其他软件要读取的时候就会跳出来) |
 |
175
woshijidan 94 天前 via Android
已经加了自定义规则了,十分钟后完美复现
|
 |
176
QMore 94 天前
令人厌恶
|
 |
177
nikolai 94 天前
欧洲地区的商店版本有没有上架? GDPR 干一波
|
 |
178
iSteven 94 天前
狗日的腾讯
|
|
179
mengyx 94 天前
@oovveeaarr #169 见 #8 #17 #18
|
|
180
zhxhwyzh14 94 天前 via Android
@imacyho 通过“文件夹限制访问”允许某个应用
|
 |
181
shanliang 94 天前 via iPhone 1
我用 xcode 的 Instruments app 监视了 mac 版 qq,暂未发现异常读取浏览器的情况。
|
 |
182
join 94 天前 1
想起了我这个帖子里,不少人还在讨论现在都什么年代,哪里还有什么流氓软件。
https://www.v2ex.com/t/744894 |
 |
183
moioooo 94 天前
刚加了规则,突然发现 QQ 音乐也在搞事
|
 |
184
Ackvincent 94 天前
搞的我连看雪都打不开了
|
 |
185
tangkaichuan 94 天前 via Android
360 狂喜
|
 |
186
JBaker 94 天前
@Ackvincent 我这里还能打开……也许是因为我缓存了?
|
 |
188
xmoiduts 94 天前 via Android
快进到 RDP remote APP 版 QQ (在另一台物理机运行并远程窗口到本地)
|
 |
189
Andreas8 94 天前 via Android
安卓相册对于微信,QQ 这种软件来说是不是透明的?
|
 |
190
renmu123 94 天前 3
已向 http://pip.tc260.org.cn/ 进行举报
|
|
194
derekwei 94 天前 8
某司还在 HK 上市,我觉得还可以向香港个人资料隐私专员提 complaint: https://www.pcpd.org.hk/tc_chi/complaints/how_complaint/complaint/complaint.html
|
|
195
renmu123 94 天前
@EVERY55 #191 因为 qq 强依赖 qqprotect,可以试试看这个绿化版 https://www.ghpym.com/pctim.html
|
 |
196
gricn 93 天前 2
Tim 不停地在扫描所有用户文件夹,不止包括浏览器记录,还包括诸如 Yarn, npm, Jetbrains 等各种
 ) |
 |
197
ryh 93 天前
游戏更恐怖全部要求管理员权限,tx 的游戏 tos 里都明确的写了要读飞机软件的配置,牛大发了
|
 |
198
LOVOQ 93 天前
我在用 mod 后 tim 3.00 目前使用火绒剑没有查找到 History 相关键值 仅供参考
|
 |
199
Xhack 93 天前
各位有火绒规则配置吗
|
 |
200
chust 93 天前
我用户文件夹下的 AppData 目录里的子目录,在开机一段时间后无法删除,检查占用的进程提示是 System 。看到这个贴子之后把 QQ 退出了,然后再点一下删除,顺利删掉了。。。删掉了。。。
因为无法删除目录,之前我的 Adobe Illustrator 都没法启动,它在启动时貌似要修改用户目录里的文件夹,无法修改就拒绝启动。 |
Select Language