V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mengyx
V2EX  ›  互联网

QQ 正在尝试读取你的浏览记录

  mengyx · 96 天前 · 76110 次点击
这是一个创建于 96 天前的主题,其中的信息可能已经有所发展或是发生改变。

前些天用 QQ,为了防止一些流氓行为,特地去的 MS Store 里面安装的 QQ 桌面版。

幸好之前用火绒的自定义拦截功能,设置了一些重要或敏感数据目录的保护。

拦截日志如下:

Imgur

第 1 条附言  ·  94 天前
@qwqdanchun #21 对 QQ 的行为进行进行了逆向分析,实锤了 https://bbs.pediy.com/thread-265359.htm
第 2 条附言  ·  94 天前

以History为关键字,最早可以追溯到9.1.5版本(2019年6月),这么说此种行为至少已经进行一年半了:

第 3 条附言  ·  93 天前

简单总结一下:

影响范围

具体行为

  1. 登录10分钟之后,读取浏览器浏览历史
    • 读取 %LocalAppData% 目录下所有基于Chromium的浏览器历史记录;具体见@qwqdanchun #21 的分析
    • 读取IE历史(FindFirstUrlCacheEntryW),具体见 @raion #229
  2. 对读取到的url进行md5,并在本地进行比较 @swchzq #157
  3. md5匹配的情况下,上传相应分组ID(主要为电商、股票等关键词),详见@Terang #166, @raion #229

事件进展

  • 目前,QQ 9.4.2 (发布于2021/01/17 20:32)移除了相应代码,暂停了侵害行为 (thx: @weifan #368)
  • 目前,TIM 3.3.0 (发布于2021/01/17 21:39)移除了相应代码,暂停了侵害行为
589 条回复    2021-02-15 16:20:56 +08:00
1  2  3  4  5  6  
CivAx
    101
CivAx   94 天前   ❤️ 2
翻页
ironsky
    102
ironsky   94 天前 via Android
已经许久不用 QQ,还是卸载了放心。。。
SekiBetu
    103
SekiBetu   94 天前
@qwqdanchun 但是似乎要自己一个一个添加,有没有从源头阻止这个行为的办法
CivAx
    104
CivAx   94 天前   ❤️ 2
卡巴斯基也抓到了,用卡巴斯基的可以参考设置。
![图片]( http://civ.ax/bucket/pic.png)
Mithrandir0
    105
Mithrandir0   94 天前
问题是移动端是不是也会读取?
derekwei
    106
derekwei   94 天前 via iPhone   ❤️ 8
建议 report 给 MS Store,和 App 专项治理工作组( pip.tc260.org.cn
monsterX
    107
monsterX   94 天前 via Android
@Mithrandir0 应该做不到,移动端( android/ios)对权限的管理比较精细,没法跨应用读取数据文件
f165af34d4830eeb
    108
f165af34d4830eeb   94 天前
@derekwei 堂下和人状告本官?
derekwei
    109
derekwei   94 天前
@f165af34d4830eeb 老干妈...
Ljcbaby
    110
Ljcbaby   94 天前
对不起,我这里也复现了
Dvel
    111
Dvel   94 天前
Shame ! Shame !狗日的腾讯!
Lightbright
    112
Lightbright   94 天前
QQ 版本 9.4.2.27658:
AppUtil.dll 偏移 0x3EE54 位置:
68 A8 0B 00 00 修改为 33 C0 40 C3 90
TIM 版本 3.2.0.21856:
AppUtil.dll 偏移 0x4A8AF 位置:
68 A8 0B 00 00 修改为 33 C0 40 C3 90

大家也可以直接搜索特征码 68A80B0000 定位要修改的位置

哦对了,前提是你的 QQ/TIM 要是去除自我校验的版本哦
Wicked
    113
Wicked   94 天前
sandboxie 完美,就是对 QQ 要写个批处理,先把 QQProtect 在沙盒中开了,才能开 QQ
irainsoft
    114
irainsoft   94 天前
append 中的看雪链接 502 了,是被打了吗?
TypeError
    115
TypeError   94 天前 via Android   ❤️ 2
@Mithrandir0 之前 Android 最多只能读公共存储,读不了其他 app 的,
现在国内外(工信部+Google play 政策)监管要求,公用存储权限都不用给。

Windows 用商店版+保护文件夹或者上 sandboxie 更好,
Mac 也只能用商店版+别给磁盘目录权限
ytoworld
    116
ytoworld   94 天前   ❤️ 12
啊不是发现这种情况的一般流程不应该是举报 /起诉 App 开发者侵犯隐私权吗
看来大家都默认某国监管机构不会管了.
quinaeus
    117
quinaeus   94 天前
@vate32 QQ 聊天记录的位置可以修改的,可以不放在 Documents 文件夹下,我就自己成功改了
brucmao
    118
brucmao   94 天前
主机已经卸载,在 win7 虚拟机安装 qq 了,把以前的 qq 消息共享给虚拟机的 qq
imycc
    119
imycc   94 天前
当年 3Q 大战的图还能搬出来用吗

看到这个贴已经把 QQ 卸载掉了,然后挂着 procmon 观察微信有没有访问 AppData\Local\。。。
yangzhaofeng
    120
yangzhaofeng   94 天前
@CivAx 是直接把 qq 放到高限制組嗎?這樣好像會無法正常運行
janus77
    121
janus77   94 天前
你们真的是,太能折腾了,直接 QQ 绿色精简版一把梭就完事了。你禁了这个天知道还有什么其他的后台行为
ooooo
    122
ooooo   94 天前
@TypeError

楼主上的图就是 win10 上面的 Microsoft store 微软商店的版本
绝大多数人以为这个是纯净版
谁知道这个版本也存在搜集窃取用户硬盘上隐私数据的行为
所以大家才这么吃惊
qwqdanchun
    123
qwqdanchun   94 天前
@imycc 微信没有,至少我没有找到
CivAx
    124
CivAx   94 天前
@yangzhaofeng #120 先在 “管理资源” 工具里的任意目录添加任何你想保护的文件或文件夹,然后选中这个新添加的 “项目”,在右侧的列表里,禁用掉你想阻止访问这个 “项目” 的应用。
SekiBetu
    125
SekiBetu   94 天前
C:\Users\*\AppData\Roaming\Mozilla\Firefox\Profiles\*.default*\places.sqlite 火狐的用户记录一般存在这个数据库里
wlgq2
    126
wlgq2   94 天前 via Android
肉身才是出路
SekiBetu
    127
SekiBetu   94 天前
@janus77 一般的绿色精简版不会禁止这种操作的,大多只是禁止后台上报,但是禁止了之后会有一些副作用,比如 QQ 群文件界面打不开,加好友界面打不开,这个都是一刀切,具体要把这种行为禁了的办法真不知道怎么弄
tediorelee
    128
tediorelee   94 天前
会不会进水深火热了
locoz
    129
locoz   94 天前 via Android
@Victrid #93 有那味了
lio444
    130
lio444   94 天前
在文件规则的下面一个框中输入 “ *\User*Data\Default* ”,如图所示,不要引号,星号要有。下面保护的动作全部勾选,注意下方选择“询问我”而不是“直接阻止”。

https://www.bilibili.com/read/cv9314384
分享规则。
iVeego
    131
iVeego   94 天前
有办法投诉吗?
dyc233
    132
dyc233   94 天前 via Android
还让不让人好好冲浪了啊
Atomo
    133
Atomo   94 天前 via Android
@wlgq2 不管你哪里,只要你用 qq,就是这待遇,不分国界,不分球界
lio444
    134
lio444   94 天前
@iVeego

投诉有用,还要 JC 干嘛。
sunnywqf
    135
sunnywqf   94 天前 via iPhone
卸载能还我清静嘛? tx 这流氓
TypeError
    136
TypeError   94 天前 via Android   ❤️ 1
@ooooo 那只能用保护文件夹限制访问,或是用沙盒软件 sandboxie,
国产软件就是这个鸟样,有权限的肯定会被滥用
chenjian026
    137
chenjian026   94 天前 via Android   ❤️ 1
这个论坛真搞事😆
pepsi537
    138
pepsi537   94 天前
mac 版的 QQ 也会这样吗(开始担心)
iVeego
    139
iVeego   94 天前
@lio444 #134 你不投诉,警察也不管啊。
nuevepicos
    140
nuevepicos   94 天前
wc !

那 mac 版 QQ 呢? 有没有人扒一下。
lifetimeporn
    141
lifetimeporn   94 天前
扫描全能王
JwhSir
    142
JwhSir   94 天前
@lio444 谢谢分享
inhd
    143
inhd   94 天前
@nuevepicos 同求扒一下 QQ for Mac
Maskeney
    144
Maskeney   94 天前   ❤️ 1
@ytoworld #116 不只是监管机构不会管的问题吧,更多的是狼狈为奸,指不定审查的始作俑者就是他们自己
mengyx
    145
mengyx   94 天前
@pepsi537 #138
@nuevepicos #140
简单地反编译了一下,没有搜索到 Default/History 相关的字符组合,应当是没有相应行为的。
不过没办法确认,还是需要运行下查看监控其行为(手边没有 Mac,你们可以试试
made
    146
made   94 天前 via iPhone
要不换个思路,QQ 国际版看看有没有,有的话给举报到美国和欧盟区,尤其是欧盟对这个可敏感了
Ultraman
    147
Ultraman   94 天前
为什么我打开 pediy.com 的那个链接报 502 错误?
clockcloud
    148
clockcloud   94 天前   ❤️ 20
转载:

请各位注意,你们使用逆向工程方法分析腾讯公司的 QQ 软件的行为,是对腾讯公司知识产权产品的窃取,已经构成非法获取计算机信息系统数据、非法控制计算机信息系统罪。

另外,你们运用火绒干扰腾讯公司的 QQ 软件,已经导致其不能正常收集用户的浏览记录与文件,构成破坏计算机信息系统罪。火绒博锐(北京)科技有限公司提供了非法侵入、修改、干扰腾讯公司的 QQ 软件正常运行的工具,已经构成提供侵入、非法控制计算机信息系统程序、工具罪。

如果你们尽快自首,交代犯罪事实,积极消除你们对腾讯公司造成的不利影响,还可以争取宽大处理。
OwO233
    149
OwO233   94 天前
@CivAx #104 ?为啥你的不是预览啊?
12101111
    150
12101111   94 天前
这种事情是不是应该固定证据报案? 应该是刑事犯罪吧
CivAx
    151
CivAx   94 天前
@OwO233 #149 什么预览
OwO233
    152
OwO233   94 天前
@CivAx #151 图片的预览来着,不是支持 markdown 咩?
lifetimeporn
    153
lifetimeporn   94 天前
都先别急着卸载,到时候投诉需要证据,等会你们就没法安装之前的那个安装包了,所谓“整改”,给你加一层 anti-debug
lifetimeporn
    154
lifetimeporn   94 天前
加一层 anti-debug 继续窃取用户数据,美滋滋
weifan
    155
weifan   94 天前
所以,哪位大佬可以总结一下应该防护哪些目录😂P 、X 站的记录全被搂走了...
CrazyMoon
    156
CrazyMoon   94 天前
@clockcloud 真实,难怪安全厂商不敢揭发
swchzq
    157
swchzq   94 天前   ❤️ 33
逆向了 qq 的逻辑, 大概干了以下事情:
1. 扫描 IE, chrome, edge 等浏览器的浏览记录
2. 对 url 的部分内容进行 md5, 与 4 个硬编码的 md5 进行比较
3. 如果 md5 比较成功, 将 url 上报至服务器

因为 url 被 md5 了, 不知道 qq 实际想检测什么 url, 所以我写了个脚本( ), 大家可以试试看自己有没有访问这几个 md5 值对应的 url

使用方法, 将```%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\History```文件拷贝至某个文件夹, 下载上面的脚本至相同文件夹, 然后用 python 运行脚本
lifetimeporn
    158
lifetimeporn   94 天前   ❤️ 2

腾讯:用户数据为资本,做最基本的通讯软件,用最下三滥的手段
腾讯安全:有实力,无所惧,一会就给你 anti-debug,你们不能逆向我,就没有我窃取你们数据的证据了。我有这反逆向实力,无所惧你们投诉
腾讯新闻:这下你们开眼界了?
lifetimeporn
    159
lifetimeporn   94 天前
现在一句句标语看着就贼讽刺
Dwayne
    160
Dwayne   94 天前
我偷偷上网冲浪被发现了
TypeError
    161
TypeError   94 天前 via Android
@lifetimeporn 腾讯就是个 Facebook 第二,业务模式都差不多,聊天软件+游戏+广告,Facebook 每个隐私丑闻,腾讯身上都能找到更恶劣的
flyn
    162
flyn   94 天前
这么多楼,不知 History 目录不在 Appdata 目录下的会被读取吗
Decent
    163
Decent   94 天前 via iPhone
果然免费的就是最贵的
Terang
    164
Terang   94 天前
@swchzq https://sm.ms/image/hxiVvDNsf2lFJ7u 网上找到一个解密图
derekwei
    165
derekwei   94 天前
@swchzq 这个逻辑就特别奇特了,TX 究竟对什么网址这么感兴趣
Terang
    166
Terang   94 天前   ❤️ 5
swchzq
    167
swchzq   94 天前   ❤️ 7
@Terang

我验证了下,解密图里内容是正确的,tks

@derekwei

根据 https://sm.ms/image/hxiVvDNsf2lFJ7u 看,是各大电商(淘宝,天猫,jd 等)的搜索历史
zhxhwyzh14
    168
zhxhwyzh14   94 天前 via Android
@swchzq 看解密图都是购物相关?
oovveeaarr
    169
oovveeaarr   94 天前
@mengyx LZ 方便分享一下自定义防护的规则吗?感谢感谢
howellz
    170
howellz   94 天前   ❤️ 2
流弊啊,要是能脱离微信该特么多幸福啊。
fline
    171
fline   94 天前 via iPhone   ❤️ 8
我之前在一个讨论内存大小的帖子里说微信 QQ 装虚拟机,还被人一顿嘲讽╮( ̄▽ ̄"")╭
zhxhwyzh14
    172
zhxhwyzh14   94 天前 via Android
@TypeError 谢谢,windows 自带的好像不能阻止读取
Terang
    173
Terang   94 天前
DannyVim
    174
DannyVim   94 天前
@aceralon #44
请问我把 AppData\Local 直接放进保护了,为什么 QQ 还是可以访问呀?而且我一直等不到安全中心跳出来被阻止的提示(但其他软件要读取的时候就会跳出来)
woshijidan
    175
woshijidan   94 天前 via Android
已经加了自定义规则了,十分钟后完美复现
QMore
    176
QMore   94 天前
令人厌恶
nikolai
    177
nikolai   94 天前
欧洲地区的商店版本有没有上架? GDPR 干一波
iSteven
    178
iSteven   94 天前
狗日的腾讯
mengyx
    179
mengyx   94 天前
@oovveeaarr #169 见 #8 #17 #18
zhxhwyzh14
    180
zhxhwyzh14   94 天前 via Android
@imacyho 通过“文件夹限制访问”允许某个应用
shanliang
    181
shanliang   94 天前 via iPhone   ❤️ 1
我用 xcode 的 Instruments app 监视了 mac 版 qq,暂未发现异常读取浏览器的情况。
join
    182
join   94 天前   ❤️ 1
想起了我这个帖子里,不少人还在讨论现在都什么年代,哪里还有什么流氓软件。
https://www.v2ex.com/t/744894
moioooo
    183
moioooo   94 天前
刚加了规则,突然发现 QQ 音乐也在搞事
Ackvincent
    184
Ackvincent   94 天前
搞的我连看雪都打不开了
tangkaichuan
    185
tangkaichuan   94 天前 via Android
360 狂喜
JBaker
    186
JBaker   94 天前
@Ackvincent 我这里还能打开……也许是因为我缓存了?
Cielsky
    187
Cielsky   94 天前 via Android
@12101111 南山必胜客别跨省把你搞进去
xmoiduts
    188
xmoiduts   94 天前 via Android
快进到 RDP remote APP 版 QQ (在另一台物理机运行并远程窗口到本地)
Andreas8
    189
Andreas8   94 天前 via Android
安卓相册对于微信,QQ 这种软件来说是不是透明的?
renmu123
    190
renmu123   94 天前   ❤️ 3
已向 http://pip.tc260.org.cn/ 进行举报
dzyou2007
    191
dzyou2007   94 天前 via Android
@made 国际版都放弃了……最后更新 2014 年 😅😅😅
EVERY55
    192
EVERY55   94 天前
@CivAx
@Wicked 沙盒里面运行 QQ 现实安全组件异常怎么办?
CivAx
    193
CivAx   94 天前 via iPhone
@EVERY55 从来不用沙盒那种东西,解决一个需求,多出十个问题。
derekwei
    194
derekwei   94 天前   ❤️ 8
某司还在 HK 上市,我觉得还可以向香港个人资料隐私专员提 complaint: https://www.pcpd.org.hk/tc_chi/complaints/how_complaint/complaint/complaint.html
renmu123
    195
renmu123   94 天前
@EVERY55 #191 因为 qq 强依赖 qqprotect,可以试试看这个绿化版 https://www.ghpym.com/pctim.html
gricn
    196
gricn   93 天前   ❤️ 2
Tim 不停地在扫描所有用户文件夹,不止包括浏览器记录,还包括诸如 Yarn, npm, Jetbrains 等各种
![截图]( )
ryh
    197
ryh   93 天前
游戏更恐怖全部要求管理员权限,tx 的游戏 tos 里都明确的写了要读飞机软件的配置,牛大发了
LOVOQ
    198
LOVOQ   93 天前
我在用 mod 后 tim 3.00 目前使用火绒剑没有查找到 History 相关键值 仅供参考
Xhack
    199
Xhack   93 天前
各位有火绒规则配置吗
chust
    200
chust   93 天前
我用户文件夹下的 AppData 目录里的子目录,在开机一段时间后无法删除,检查占用的进程提示是 System 。看到这个贴子之后把 QQ 退出了,然后再点一下删除,顺利删掉了。。。删掉了。。。
因为无法删除目录,之前我的 Adobe Illustrator 都没法启动,它在启动时貌似要修改用户目录里的文件夹,无法修改就拒绝启动。
1  2  3  4  5  6  
关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3488 人在线   最高记录 5497   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 28ms · UTC 08:28 · PVG 16:28 · LAX 01:28 · JFK 04:28
♥ Do have faith in what you're doing.