这是一个创建于 537 天前的主题,其中的信息可能已经有所发展或是发生改变。
前些天用 QQ,为了防止一些流氓行为,特地去的 MS Store 里面安装的 QQ 桌面版。
幸好之前用火绒的自定义拦截功能,设置了一些重要或敏感数据目录的保护。
拦截日志如下:
第 1 条附言 · 2021-01-17 00:57:25 +08:00
@qwqdanchun #21 对 QQ 的行为进行进行了逆向分析,实锤了 https://bbs.pediy.com/thread-265359.htm
第 2 条附言 · 2021-01-17 12:50:59 +08:00
以History为关键字,最早可以追溯到9.1.5版本(2019年6月),这么说此种行为至少已经进行一年半了:
-
AppUtil.dll (有腾讯的数字签名)
- SHA256: C9FD14D538AAEFBC0624F3E50BF582C4306D7674F70518070B3D1179BFD596D7
- QQ 9.1.5 下载来源
第 3 条附言 · 2021-01-18 11:31:03 +08:00
简单总结一下:
影响范围
- QQ Windows 9.0.4 (发布于2018/06/15)之后的版本 (thx: @ddsfeng #315)
- TIM Windows 3.1.0 (发布于2020/07/29)之后的版本
具体行为
-
登录10分钟之后,读取浏览器浏览历史
- 读取
%LocalAppData%目录下所有基于Chromium的浏览器历史记录;具体见@qwqdanchun #21 的分析 - 读取IE历史(FindFirstUrlCacheEntryW),具体见 @raion #229
- 读取
- 对读取到的url进行md5,并在本地进行比较 @swchzq #157
-
md5匹配的情况下,上传相应分组ID(主要为电商、股票等关键词),详见@Terang #166, @raion #229
- 第三个字符串应为
uland.taobao.com/sem/tbsearch?(来自知乎用户Harrion)
- 第三个字符串应为
事件进展
- 目前,QQ 9.4.2 (发布于2021/01/17 20:32)移除了相应代码,暂停了侵害行为 (thx: @weifan #368)
- 目前,TIM 3.3.0 (发布于2021/01/17 21:39)移除了相应代码,暂停了侵害行为
 |
101
CivAx 2021-01-17 13:52:28 +08:00  2
翻页
|
 |
102
ironsky 2021-01-17 13:57:16 +08:00 via Android
已经许久不用 QQ,还是卸载了放心。。。
|
 |
103
SekiBetu 2021-01-17 13:58:08 +08:00
@qwqdanchun 但是似乎要自己一个一个添加,有没有从源头阻止这个行为的办法
|
|
104
CivAx 2021-01-17 13:58:31 +08:00 2
卡巴斯基也抓到了,用卡巴斯基的可以参考设置。
 |
 |
105
Mithrandir0 2021-01-17 13:58:56 +08:00
问题是移动端是不是也会读取?
|
 |
106
derekwei 2021-01-17 13:59:36 +08:00 via iPhone 8
建议 report 给 MS Store,和 App 专项治理工作组( pip.tc260.org.cn )
|
 |
107
monsterX 2021-01-17 14:03:01 +08:00 via Android
@Mithrandir0 应该做不到,移动端( android/ios)对权限的管理比较精细,没法跨应用读取数据文件
|
 |
108
f165af34d4830eeb 2021-01-17 14:03:04 +08:00
@derekwei 堂下和人状告本官?
|
|
109
derekwei 2021-01-17 14:04:00 +08:00
@f165af34d4830eeb 老干妈...
|
 |
110
Ljcbaby 2021-01-17 14:05:34 +08:00
对不起,我这里也复现了
  |
 |
111
Dvel 2021-01-17 14:06:21 +08:00
Shame ! Shame !狗日的腾讯!
|
 |
112
Lightbright 2021-01-17 14:07:32 +08:00
QQ 版本 9.4.2.27658:
AppUtil.dll 偏移 0x3EE54 位置: 68 A8 0B 00 00 修改为 33 C0 40 C3 90 TIM 版本 3.2.0.21856: AppUtil.dll 偏移 0x4A8AF 位置: 68 A8 0B 00 00 修改为 33 C0 40 C3 90 大家也可以直接搜索特征码 68A80B0000 定位要修改的位置 哦对了,前提是你的 QQ/TIM 要是去除自我校验的版本哦 |
 |
113
Wicked 2021-01-17 14:08:25 +08:00
sandboxie 完美,就是对 QQ 要写个批处理,先把 QQProtect 在沙盒中开了,才能开 QQ
|
 |
114
irainsoft 2021-01-17 14:09:18 +08:00
append 中的看雪链接 502 了,是被打了吗?
 |
 |
115
TypeError 2021-01-17 14:10:38 +08:00 via Android 2
@Mithrandir0 之前 Android 最多只能读公共存储,读不了其他 app 的,
现在国内外(工信部+Google play 政策)监管要求,公用存储权限都不用给。 Windows 用商店版+保护文件夹或者上 sandboxie 更好, Mac 也只能用商店版+别给磁盘目录权限 |
 |
116
ytoworld 2021-01-17 14:14:45 +08:00 12
啊不是发现这种情况的一般流程不应该是举报 /起诉 App 开发者侵犯隐私权吗
看来大家都默认某国监管机构不会管了. |
 |
118
brucmao 2021-01-17 14:14:51 +08:00
主机已经卸载,在 win7 虚拟机安装 qq 了,把以前的 qq 消息共享给虚拟机的 qq
|
 |
119
imycc 2021-01-17 14:17:15 +08:00
当年 3Q 大战的图还能搬出来用吗
看到这个贴已经把 QQ 卸载掉了,然后挂着 procmon 观察微信有没有访问 AppData\Local\。。。 |
 |
120
yangzhaofeng 2021-01-17 14:18:42 +08:00
@CivAx 是直接把 qq 放到高限制組嗎?這樣好像會無法正常運行
|
 |
121
janus77 2021-01-17 14:20:13 +08:00
你们真的是,太能折腾了,直接 QQ 绿色精简版一把梭就完事了。你禁了这个天知道还有什么其他的后台行为
|
 |
122
ooooo 2021-01-17 14:22:13 +08:00
@TypeError
楼主上的图就是 win10 上面的 Microsoft store 微软商店的版本 绝大多数人以为这个是纯净版 谁知道这个版本也存在搜集窃取用户硬盘上隐私数据的行为 所以大家才这么吃惊 |
 |
123
qwqdanchun 2021-01-17 14:23:42 +08:00
@imycc 微信没有,至少我没有找到
|
|
124
CivAx 2021-01-17 14:25:30 +08:00
@yangzhaofeng #120 先在 “管理资源” 工具里的任意目录添加任何你想保护的文件或文件夹,然后选中这个新添加的 “项目”,在右侧的列表里,禁用掉你想阻止访问这个 “项目” 的应用。
|
|
125
SekiBetu 2021-01-17 14:27:15 +08:00
C:\Users\*\AppData\Roaming\Mozilla\Firefox\Profiles\*.default*\places.sqlite 火狐的用户记录一般存在这个数据库里
|
 |
126
wlgq2 2021-01-17 14:29:09 +08:00 via Android
肉身才是出路
|
|
127
SekiBetu 2021-01-17 14:29:15 +08:00
@janus77 一般的绿色精简版不会禁止这种操作的,大多只是禁止后台上报,但是禁止了之后会有一些副作用,比如 QQ 群文件界面打不开,加好友界面打不开,这个都是一刀切,具体要把这种行为禁了的办法真不知道怎么弄
|
 |
128
tediorelee 2021-01-17 14:31:21 +08:00
会不会进水深火热了
|
 |
130
lio444 2021-01-17 14:35:26 +08:00
在文件规则的下面一个框中输入 “ *\User*Data\Default* ”,如图所示,不要引号,星号要有。下面保护的动作全部勾选,注意下方选择“询问我”而不是“直接阻止”。
https://www.bilibili.com/read/cv9314384 分享规则。 |
 |
131
iVeego 2021-01-17 14:36:31 +08:00
有办法投诉吗?
|
 |
132
dyc233 2021-01-17 14:36:38 +08:00 via Android
还让不让人好好冲浪了啊
|
 |
135
sunnywqf 2021-01-17 14:47:23 +08:00 via iPhone
卸载能还我清静嘛? tx 这流氓
|
|
136
TypeError 2021-01-17 14:47:31 +08:00 via Android 1
@ooooo 那只能用保护文件夹限制访问,或是用沙盒软件 sandboxie,
国产软件就是这个鸟样,有权限的肯定会被滥用 |
 |
137
chenjian026 2021-01-17 14:48:48 +08:00 via Android 1
这个论坛真搞事😆
|
 |
138
pepsi537 2021-01-17 14:50:31 +08:00
mac 版的 QQ 也会这样吗(开始担心)
|
 |
140
nuevepicos 2021-01-17 14:51:33 +08:00
wc !
那 mac 版 QQ 呢? 有没有人扒一下。 |
 |
141
lifetimeporn 2021-01-17 14:58:08 +08:00
扫描全能王
|
 |
143
inhd 2021-01-17 15:02:17 +08:00
@nuevepicos 同求扒一下 QQ for Mac
|
 |
145
mengyx OP @pepsi537 #138
@nuevepicos #140 简单地反编译了一下,没有搜索到 Default/History 相关的字符组合,应当是没有相应行为的。 不过没办法确认,还是需要运行下查看监控其行为(手边没有 Mac,你们可以试试 |
 |
146
made 2021-01-17 15:07:19 +08:00 via iPhone
要不换个思路,QQ 国际版看看有没有,有的话给举报到美国和欧盟区,尤其是欧盟对这个可敏感了
|
 |
148
clockcloud 2021-01-17 15:08:32 +08:00 20
转载:
请各位注意,你们使用逆向工程方法分析腾讯公司的 QQ 软件的行为,是对腾讯公司知识产权产品的窃取,已经构成非法获取计算机信息系统数据、非法控制计算机信息系统罪。 另外,你们运用火绒干扰腾讯公司的 QQ 软件,已经导致其不能正常收集用户的浏览记录与文件,构成破坏计算机信息系统罪。火绒博锐(北京)科技有限公司提供了非法侵入、修改、干扰腾讯公司的 QQ 软件正常运行的工具,已经构成提供侵入、非法控制计算机信息系统程序、工具罪。 如果你们尽快自首,交代犯罪事实,积极消除你们对腾讯公司造成的不利影响,还可以争取宽大处理。 |
 |
150
12101111 2021-01-17 15:11:27 +08:00
这种事情是不是应该固定证据报案? 应该是刑事犯罪吧
|
|
153
lifetimeporn 2021-01-17 15:15:59 +08:00
都先别急着卸载,到时候投诉需要证据,等会你们就没法安装之前的那个安装包了,所谓“整改”,给你加一层 anti-debug
|
|
154
lifetimeporn 2021-01-17 15:16:13 +08:00
加一层 anti-debug 继续窃取用户数据,美滋滋
|
 |
155
weifan 2021-01-17 15:17:56 +08:00
所以,哪位大佬可以总结一下应该防护哪些目录😂P 、X 站的记录全被搂走了...
|
 |
156
CrazyMoon 2021-01-17 15:22:22 +08:00
@clockcloud 真实,难怪安全厂商不敢揭发
|
 |
157
swchzq 2021-01-17 15:22:53 +08:00 33
逆向了 qq 的逻辑, 大概干了以下事情:
1. 扫描 IE, chrome, edge 等浏览器的浏览记录 2. 对 url 的部分内容进行 md5, 与 4 个硬编码的 md5 进行比较 3. 如果 md5 比较成功, 将 url 上报至服务器 因为 url 被 md5 了, 不知道 qq 实际想检测什么 url, 所以我写了个脚本( ), 大家可以试试看自己有没有访问这几个 md5 值对应的 url 使用方法, 将```%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\History```文件拷贝至某个文件夹, 下载上面的脚本至相同文件夹, 然后用 python 运行脚本 |
|
158
lifetimeporn 2021-01-17 15:29:28 +08:00 2
 腾讯:用户数据为资本,做最基本的通讯软件,用最下三滥的手段 腾讯安全:有实力,无所惧,一会就给你 anti-debug,你们不能逆向我,就没有我窃取你们数据的证据了。我有这反逆向实力,无所惧你们投诉 腾讯新闻:这下你们开眼界了? |
|
159
lifetimeporn 2021-01-17 15:30:23 +08:00
现在一句句标语看着就贼讽刺
|
 |
160
Dwayne 2021-01-17 15:32:03 +08:00
我偷偷上网冲浪被发现了
 |
|
161
TypeError 2021-01-17 15:37:31 +08:00 via Android
@lifetimeporn 腾讯就是个 Facebook 第二,业务模式都差不多,聊天软件+游戏+广告,Facebook 每个隐私丑闻,腾讯身上都能找到更恶劣的
|
 |
162
flyn 2021-01-17 15:38:42 +08:00
这么多楼,不知 History 目录不在 Appdata 目录下的会被读取吗
|
 |
163
Decent 2021-01-17 15:38:56 +08:00 via iPhone
果然免费的就是最贵的
|
 |
164
Terang 2021-01-17 15:39:38 +08:00
@swchzq https://sm.ms/image/hxiVvDNsf2lFJ7u 网上找到一个解密图
|
|
166
Terang 2021-01-17 15:44:01 +08:00 5
|
|
167
swchzq 2021-01-17 15:44:29 +08:00 7
@Terang
我验证了下,解密图里内容是正确的,tks @derekwei 根据 https://sm.ms/image/hxiVvDNsf2lFJ7u 看,是各大电商(淘宝,天猫,jd 等)的搜索历史 |
 |
168
zhxhwyzh14 2021-01-17 15:45:15 +08:00 via Android
@swchzq 看解密图都是购物相关?
|
 |
169
oovveeaarr 2021-01-17 15:45:16 +08:00
@mengyx LZ 方便分享一下自定义防护的规则吗?感谢感谢
|
 |
170
howellz 2021-01-17 15:46:24 +08:00 2
流弊啊,要是能脱离微信该特么多幸福啊。
|
 |
171
fline 2021-01-17 15:46:45 +08:00 via iPhone 8
我之前在一个讨论内存大小的帖子里说微信 QQ 装虚拟机,还被人一顿嘲讽╮( ̄▽ ̄"")╭
|
|
172
zhxhwyzh14 2021-01-17 15:48:30 +08:00 via Android
@TypeError 谢谢,windows 自带的好像不能阻止读取
|
|
173
Terang 2021-01-17 15:49:51 +08:00
|
 |
174
DannyVim 2021-01-17 15:49:58 +08:00
@aceralon #44
请问我把 AppData\Local 直接放进保护了,为什么 QQ 还是可以访问呀?而且我一直等不到安全中心跳出来被阻止的提示(但其他软件要读取的时候就会跳出来) |
 |
175
woshijidan 2021-01-17 15:50:29 +08:00 via Android
已经加了自定义规则了,十分钟后完美复现
|
 |
176
QMore 2021-01-17 15:50:54 +08:00
令人厌恶
|
 |
177
nikolai 2021-01-17 15:53:04 +08:00
欧洲地区的商店版本有没有上架? GDPR 干一波
|
 |
178
iSteven 2021-01-17 15:54:54 +08:00
狗日的腾讯
|
|
179
mengyx OP @oovveeaarr #169 见 #8 #17 #18
|
|
180
zhxhwyzh14 2021-01-17 15:57:47 +08:00 via Android
@imacyho 通过“文件夹限制访问”允许某个应用
|
 |
181
shanliang 2021-01-17 15:59:30 +08:00 via iPhone 1
我用 xcode 的 Instruments app 监视了 mac 版 qq,暂未发现异常读取浏览器的情况。
|
 |
182
join 2021-01-17 16:02:08 +08:00 1
想起了我这个帖子里,不少人还在讨论现在都什么年代,哪里还有什么流氓软件。
https://www.v2ex.com/t/744894 |
 |
183
moioooo 2021-01-17 16:02:20 +08:00
刚加了规则,突然发现 QQ 音乐也在搞事
|
 |
184
Ackvincent 2021-01-17 16:06:06 +08:00
搞的我连看雪都打不开了
|
 |
185
tangkaichuan 2021-01-17 16:08:46 +08:00 via Android
360 狂喜
|
 |
186
JBaker 2021-01-17 16:09:30 +08:00
@Ackvincent 我这里还能打开……也许是因为我缓存了?
|
 |
188
xmoiduts 2021-01-17 16:10:51 +08:00 via Android
快进到 RDP remote APP 版 QQ (在另一台物理机运行并远程窗口到本地)
|
 |
189
Andreas8 2021-01-17 16:11:59 +08:00 via Android
安卓相册对于微信,QQ 这种软件来说是不是透明的?
|
 |
190
renmu123 2021-01-17 16:15:49 +08:00 3
已向 http://pip.tc260.org.cn/ 进行举报
|
|
194
derekwei 2021-01-17 16:21:57 +08:00 8
某司还在 HK 上市,我觉得还可以向香港个人资料隐私专员提 complaint: https://www.pcpd.org.hk/tc_chi/complaints/how_complaint/complaint/complaint.html
|
|
195
renmu123 2021-01-17 16:23:18 +08:00
@EVERY55 #191 因为 qq 强依赖 qqprotect,可以试试看这个绿化版 https://www.ghpym.com/pctim.html
|
 |
196
gricn 2021-01-17 16:41:12 +08:00 2
Tim 不停地在扫描所有用户文件夹,不止包括浏览器记录,还包括诸如 Yarn, npm, Jetbrains 等各种
 ) |
 |
197
ryh 2021-01-17 16:44:14 +08:00
游戏更恐怖全部要求管理员权限,tx 的游戏 tos 里都明确的写了要读飞机软件的配置,牛大发了
|
 |
198
LOVOQ 2021-01-17 16:45:25 +08:00
我在用 mod 后 tim 3.00 目前使用火绒剑没有查找到 History 相关键值 仅供参考
|
 |
199
Xhack 2021-01-17 16:47:35 +08:00
各位有火绒规则配置吗
|
 |
200
chust 2021-01-17 16:51:48 +08:00
我用户文件夹下的 AppData 目录里的子目录,在开机一段时间后无法删除,检查占用的进程提示是 System 。看到这个贴子之后把 QQ 退出了,然后再点一下删除,顺利删掉了。。。删掉了。。。
因为无法删除目录,之前我的 Adobe Illustrator 都没法启动,它在启动时貌似要修改用户目录里的文件夹,无法修改就拒绝启动。 |
Select Language