V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mengyx
V2EX  ›  互联网

QQ 正在尝试读取你的浏览记录

  mengyx · 2021-01-14 20:48:41 +08:00 · 93596 次点击
这是一个创建于 537 天前的主题,其中的信息可能已经有所发展或是发生改变。

前些天用 QQ,为了防止一些流氓行为,特地去的 MS Store 里面安装的 QQ 桌面版。

幸好之前用火绒的自定义拦截功能,设置了一些重要或敏感数据目录的保护。

拦截日志如下:

Imgur

第 1 条附言  ·  2021-01-17 00:57:25 +08:00
@qwqdanchun #21 对 QQ 的行为进行进行了逆向分析,实锤了 https://bbs.pediy.com/thread-265359.htm
第 2 条附言  ·  2021-01-17 12:50:59 +08:00

以History为关键字,最早可以追溯到9.1.5版本(2019年6月),这么说此种行为至少已经进行一年半了:

第 3 条附言  ·  2021-01-18 11:31:03 +08:00

简单总结一下:

影响范围

具体行为

  1. 登录10分钟之后,读取浏览器浏览历史
    • 读取 %LocalAppData% 目录下所有基于Chromium的浏览器历史记录;具体见@qwqdanchun #21 的分析
    • 读取IE历史(FindFirstUrlCacheEntryW),具体见 @raion #229
  2. 对读取到的url进行md5,并在本地进行比较 @swchzq #157
  3. md5匹配的情况下,上传相应分组ID(主要为电商、股票等关键词),详见@Terang #166, @raion #229

事件进展

  • 目前,QQ 9.4.2 (发布于2021/01/17 20:32)移除了相应代码,暂停了侵害行为 (thx: @weifan #368)
  • 目前,TIM 3.3.0 (发布于2021/01/17 21:39)移除了相应代码,暂停了侵害行为
589 条回复    2021-02-15 16:20:56 +08:00
1  2  3  4  5  6  
CivAx
    101
CivAx  
   2021-01-17 13:52:28 +08:00   ❤️ 2
翻页
ironsky
    102
ironsky  
   2021-01-17 13:57:16 +08:00 via Android
已经许久不用 QQ,还是卸载了放心。。。
SekiBetu
    103
SekiBetu  
   2021-01-17 13:58:08 +08:00
@qwqdanchun 但是似乎要自己一个一个添加,有没有从源头阻止这个行为的办法
CivAx
    104
CivAx  
   2021-01-17 13:58:31 +08:00   ❤️ 2
卡巴斯基也抓到了,用卡巴斯基的可以参考设置。
![图片]( http://civ.ax/bucket/pic.png)
Mithrandir0
    105
Mithrandir0  
   2021-01-17 13:58:56 +08:00
问题是移动端是不是也会读取?
derekwei
    106
derekwei  
   2021-01-17 13:59:36 +08:00 via iPhone   ❤️ 8
建议 report 给 MS Store,和 App 专项治理工作组( pip.tc260.org.cn
monsterX
    107
monsterX  
   2021-01-17 14:03:01 +08:00 via Android
@Mithrandir0 应该做不到,移动端( android/ios)对权限的管理比较精细,没法跨应用读取数据文件
f165af34d4830eeb
    108
f165af34d4830eeb  
   2021-01-17 14:03:04 +08:00
@derekwei 堂下和人状告本官?
derekwei
    109
derekwei  
   2021-01-17 14:04:00 +08:00
@f165af34d4830eeb 老干妈...
Ljcbaby
    110
Ljcbaby  
   2021-01-17 14:05:34 +08:00
对不起,我这里也复现了
Dvel
    111
Dvel  
   2021-01-17 14:06:21 +08:00
Shame ! Shame !狗日的腾讯!
Lightbright
    112
Lightbright  
   2021-01-17 14:07:32 +08:00
QQ 版本 9.4.2.27658:
AppUtil.dll 偏移 0x3EE54 位置:
68 A8 0B 00 00 修改为 33 C0 40 C3 90
TIM 版本 3.2.0.21856:
AppUtil.dll 偏移 0x4A8AF 位置:
68 A8 0B 00 00 修改为 33 C0 40 C3 90

大家也可以直接搜索特征码 68A80B0000 定位要修改的位置

哦对了,前提是你的 QQ/TIM 要是去除自我校验的版本哦
Wicked
    113
Wicked  
   2021-01-17 14:08:25 +08:00
sandboxie 完美,就是对 QQ 要写个批处理,先把 QQProtect 在沙盒中开了,才能开 QQ
irainsoft
    114
irainsoft  
   2021-01-17 14:09:18 +08:00
append 中的看雪链接 502 了,是被打了吗?
TypeError
    115
TypeError  
   2021-01-17 14:10:38 +08:00 via Android   ❤️ 2
@Mithrandir0 之前 Android 最多只能读公共存储,读不了其他 app 的,
现在国内外(工信部+Google play 政策)监管要求,公用存储权限都不用给。

Windows 用商店版+保护文件夹或者上 sandboxie 更好,
Mac 也只能用商店版+别给磁盘目录权限
ytoworld
    116
ytoworld  
   2021-01-17 14:14:45 +08:00   ❤️ 12
啊不是发现这种情况的一般流程不应该是举报 /起诉 App 开发者侵犯隐私权吗
看来大家都默认某国监管机构不会管了.
quinaeus
    117
quinaeus  
   2021-01-17 14:14:47 +08:00
@vate32 QQ 聊天记录的位置可以修改的,可以不放在 Documents 文件夹下,我就自己成功改了
brucmao
    118
brucmao  
   2021-01-17 14:14:51 +08:00
主机已经卸载,在 win7 虚拟机安装 qq 了,把以前的 qq 消息共享给虚拟机的 qq
imycc
    119
imycc  
   2021-01-17 14:17:15 +08:00
当年 3Q 大战的图还能搬出来用吗

看到这个贴已经把 QQ 卸载掉了,然后挂着 procmon 观察微信有没有访问 AppData\Local\。。。
yangzhaofeng
    120
yangzhaofeng  
   2021-01-17 14:18:42 +08:00
@CivAx 是直接把 qq 放到高限制組嗎?這樣好像會無法正常運行
janus77
    121
janus77  
   2021-01-17 14:20:13 +08:00
你们真的是,太能折腾了,直接 QQ 绿色精简版一把梭就完事了。你禁了这个天知道还有什么其他的后台行为
ooooo
    122
ooooo  
   2021-01-17 14:22:13 +08:00
@TypeError

楼主上的图就是 win10 上面的 Microsoft store 微软商店的版本
绝大多数人以为这个是纯净版
谁知道这个版本也存在搜集窃取用户硬盘上隐私数据的行为
所以大家才这么吃惊
qwqdanchun
    123
qwqdanchun  
   2021-01-17 14:23:42 +08:00
@imycc 微信没有,至少我没有找到
CivAx
    124
CivAx  
   2021-01-17 14:25:30 +08:00
@yangzhaofeng #120 先在 “管理资源” 工具里的任意目录添加任何你想保护的文件或文件夹,然后选中这个新添加的 “项目”,在右侧的列表里,禁用掉你想阻止访问这个 “项目” 的应用。
SekiBetu
    125
SekiBetu  
   2021-01-17 14:27:15 +08:00
C:\Users\*\AppData\Roaming\Mozilla\Firefox\Profiles\*.default*\places.sqlite 火狐的用户记录一般存在这个数据库里
wlgq2
    126
wlgq2  
   2021-01-17 14:29:09 +08:00 via Android
肉身才是出路
SekiBetu
    127
SekiBetu  
   2021-01-17 14:29:15 +08:00
@janus77 一般的绿色精简版不会禁止这种操作的,大多只是禁止后台上报,但是禁止了之后会有一些副作用,比如 QQ 群文件界面打不开,加好友界面打不开,这个都是一刀切,具体要把这种行为禁了的办法真不知道怎么弄
tediorelee
    128
tediorelee  
   2021-01-17 14:31:21 +08:00
会不会进水深火热了
locoz
    129
locoz  
   2021-01-17 14:34:56 +08:00 via Android
@Victrid #93 有那味了
lio444
    130
lio444  
   2021-01-17 14:35:26 +08:00
在文件规则的下面一个框中输入 “ *\User*Data\Default* ”,如图所示,不要引号,星号要有。下面保护的动作全部勾选,注意下方选择“询问我”而不是“直接阻止”。

https://www.bilibili.com/read/cv9314384
分享规则。
iVeego
    131
iVeego  
   2021-01-17 14:36:31 +08:00
有办法投诉吗?
dyc233
    132
dyc233  
   2021-01-17 14:36:38 +08:00 via Android
还让不让人好好冲浪了啊
Atomo
    133
Atomo  
   2021-01-17 14:37:14 +08:00 via Android
@wlgq2 不管你哪里,只要你用 qq,就是这待遇,不分国界,不分球界
lio444
    134
lio444  
   2021-01-17 14:44:17 +08:00
@iVeego

投诉有用,还要 JC 干嘛。
sunnywqf
    135
sunnywqf  
   2021-01-17 14:47:23 +08:00 via iPhone
卸载能还我清静嘛? tx 这流氓
TypeError
    136
TypeError  
   2021-01-17 14:47:31 +08:00 via Android   ❤️ 1
@ooooo 那只能用保护文件夹限制访问,或是用沙盒软件 sandboxie,
国产软件就是这个鸟样,有权限的肯定会被滥用
chenjian026
    137
chenjian026  
   2021-01-17 14:48:48 +08:00 via Android   ❤️ 1
这个论坛真搞事😆
pepsi537
    138
pepsi537  
   2021-01-17 14:50:31 +08:00
mac 版的 QQ 也会这样吗(开始担心)
iVeego
    139
iVeego  
   2021-01-17 14:50:56 +08:00
@lio444 #134 你不投诉,警察也不管啊。
nuevepicos
    140
nuevepicos  
   2021-01-17 14:51:33 +08:00
wc !

那 mac 版 QQ 呢? 有没有人扒一下。
lifetimeporn
    141
lifetimeporn  
   2021-01-17 14:58:08 +08:00
扫描全能王
JwhSir
    142
JwhSir  
   2021-01-17 15:01:28 +08:00
@lio444 谢谢分享
inhd
    143
inhd  
   2021-01-17 15:02:17 +08:00
@nuevepicos 同求扒一下 QQ for Mac
Maskeney
    144
Maskeney  
   2021-01-17 15:03:02 +08:00   ❤️ 1
@ytoworld #116 不只是监管机构不会管的问题吧,更多的是狼狈为奸,指不定审查的始作俑者就是他们自己
mengyx
    145
mengyx  
OP
   2021-01-17 15:03:59 +08:00
@pepsi537 #138
@nuevepicos #140
简单地反编译了一下,没有搜索到 Default/History 相关的字符组合,应当是没有相应行为的。
不过没办法确认,还是需要运行下查看监控其行为(手边没有 Mac,你们可以试试
made
    146
made  
   2021-01-17 15:07:19 +08:00 via iPhone
要不换个思路,QQ 国际版看看有没有,有的话给举报到美国和欧盟区,尤其是欧盟对这个可敏感了
Ultraman
    147
Ultraman  
   2021-01-17 15:08:16 +08:00
为什么我打开 pediy.com 的那个链接报 502 错误?
clockcloud
    148
clockcloud  
   2021-01-17 15:08:32 +08:00   ❤️ 20
转载:

请各位注意,你们使用逆向工程方法分析腾讯公司的 QQ 软件的行为,是对腾讯公司知识产权产品的窃取,已经构成非法获取计算机信息系统数据、非法控制计算机信息系统罪。

另外,你们运用火绒干扰腾讯公司的 QQ 软件,已经导致其不能正常收集用户的浏览记录与文件,构成破坏计算机信息系统罪。火绒博锐(北京)科技有限公司提供了非法侵入、修改、干扰腾讯公司的 QQ 软件正常运行的工具,已经构成提供侵入、非法控制计算机信息系统程序、工具罪。

如果你们尽快自首,交代犯罪事实,积极消除你们对腾讯公司造成的不利影响,还可以争取宽大处理。
OwO233
    149
OwO233  
   2021-01-17 15:08:58 +08:00
@CivAx #104 ?为啥你的不是预览啊?
12101111
    150
12101111  
   2021-01-17 15:11:27 +08:00
这种事情是不是应该固定证据报案? 应该是刑事犯罪吧
CivAx
    151
CivAx  
   2021-01-17 15:12:14 +08:00
@OwO233 #149 什么预览
OwO233
    152
OwO233  
   2021-01-17 15:15:23 +08:00
@CivAx #151 图片的预览来着,不是支持 markdown 咩?
lifetimeporn
    153
lifetimeporn  
   2021-01-17 15:15:59 +08:00
都先别急着卸载,到时候投诉需要证据,等会你们就没法安装之前的那个安装包了,所谓“整改”,给你加一层 anti-debug
lifetimeporn
    154
lifetimeporn  
   2021-01-17 15:16:13 +08:00
加一层 anti-debug 继续窃取用户数据,美滋滋
weifan
    155
weifan  
   2021-01-17 15:17:56 +08:00
所以,哪位大佬可以总结一下应该防护哪些目录😂P 、X 站的记录全被搂走了...
CrazyMoon
    156
CrazyMoon  
   2021-01-17 15:22:22 +08:00
@clockcloud 真实,难怪安全厂商不敢揭发
swchzq
    157
swchzq  
   2021-01-17 15:22:53 +08:00   ❤️ 33
逆向了 qq 的逻辑, 大概干了以下事情:
1. 扫描 IE, chrome, edge 等浏览器的浏览记录
2. 对 url 的部分内容进行 md5, 与 4 个硬编码的 md5 进行比较
3. 如果 md5 比较成功, 将 url 上报至服务器

因为 url 被 md5 了, 不知道 qq 实际想检测什么 url, 所以我写了个脚本( ), 大家可以试试看自己有没有访问这几个 md5 值对应的 url

使用方法, 将```%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\History```文件拷贝至某个文件夹, 下载上面的脚本至相同文件夹, 然后用 python 运行脚本
lifetimeporn
    158
lifetimeporn  
   2021-01-17 15:29:28 +08:00   ❤️ 2

腾讯:用户数据为资本,做最基本的通讯软件,用最下三滥的手段
腾讯安全:有实力,无所惧,一会就给你 anti-debug,你们不能逆向我,就没有我窃取你们数据的证据了。我有这反逆向实力,无所惧你们投诉
腾讯新闻:这下你们开眼界了?
lifetimeporn
    159
lifetimeporn  
   2021-01-17 15:30:23 +08:00
现在一句句标语看着就贼讽刺
Dwayne
    160
Dwayne  
   2021-01-17 15:32:03 +08:00
我偷偷上网冲浪被发现了
TypeError
    161
TypeError  
   2021-01-17 15:37:31 +08:00 via Android
@lifetimeporn 腾讯就是个 Facebook 第二,业务模式都差不多,聊天软件+游戏+广告,Facebook 每个隐私丑闻,腾讯身上都能找到更恶劣的
flyn
    162
flyn  
   2021-01-17 15:38:42 +08:00
这么多楼,不知 History 目录不在 Appdata 目录下的会被读取吗
Decent
    163
Decent  
   2021-01-17 15:38:56 +08:00 via iPhone
果然免费的就是最贵的
Terang
    164
Terang  
   2021-01-17 15:39:38 +08:00
@swchzq https://sm.ms/image/hxiVvDNsf2lFJ7u 网上找到一个解密图
derekwei
    165
derekwei  
   2021-01-17 15:40:22 +08:00
@swchzq 这个逻辑就特别奇特了,TX 究竟对什么网址这么感兴趣
Terang
    166
Terang  
   2021-01-17 15:44:01 +08:00   ❤️ 5
swchzq
    167
swchzq  
   2021-01-17 15:44:29 +08:00   ❤️ 7
@Terang

我验证了下,解密图里内容是正确的,tks

@derekwei

根据 https://sm.ms/image/hxiVvDNsf2lFJ7u 看,是各大电商(淘宝,天猫,jd 等)的搜索历史
zhxhwyzh14
    168
zhxhwyzh14  
   2021-01-17 15:45:15 +08:00 via Android
@swchzq 看解密图都是购物相关?
oovveeaarr
    169
oovveeaarr  
   2021-01-17 15:45:16 +08:00
@mengyx LZ 方便分享一下自定义防护的规则吗?感谢感谢
howellz
    170
howellz  
   2021-01-17 15:46:24 +08:00   ❤️ 2
流弊啊,要是能脱离微信该特么多幸福啊。
fline
    171
fline  
   2021-01-17 15:46:45 +08:00 via iPhone   ❤️ 8
我之前在一个讨论内存大小的帖子里说微信 QQ 装虚拟机,还被人一顿嘲讽╮( ̄▽ ̄"")╭
zhxhwyzh14
    172
zhxhwyzh14  
   2021-01-17 15:48:30 +08:00 via Android
@TypeError 谢谢,windows 自带的好像不能阻止读取
Terang
    173
Terang  
   2021-01-17 15:49:51 +08:00
DannyVim
    174
DannyVim  
   2021-01-17 15:49:58 +08:00
@aceralon #44
请问我把 AppData\Local 直接放进保护了,为什么 QQ 还是可以访问呀?而且我一直等不到安全中心跳出来被阻止的提示(但其他软件要读取的时候就会跳出来)
woshijidan
    175
woshijidan  
   2021-01-17 15:50:29 +08:00 via Android
已经加了自定义规则了,十分钟后完美复现
QMore
    176
QMore  
   2021-01-17 15:50:54 +08:00
令人厌恶
nikolai
    177
nikolai  
   2021-01-17 15:53:04 +08:00
欧洲地区的商店版本有没有上架? GDPR 干一波
iSteven
    178
iSteven  
   2021-01-17 15:54:54 +08:00
狗日的腾讯
mengyx
    179
mengyx  
OP
   2021-01-17 15:54:54 +08:00
@oovveeaarr #169 见 #8 #17 #18
zhxhwyzh14
    180
zhxhwyzh14  
   2021-01-17 15:57:47 +08:00 via Android
@imacyho 通过“文件夹限制访问”允许某个应用
shanliang
    181
shanliang  
   2021-01-17 15:59:30 +08:00 via iPhone   ❤️ 1
我用 xcode 的 Instruments app 监视了 mac 版 qq,暂未发现异常读取浏览器的情况。
join
    182
join  
   2021-01-17 16:02:08 +08:00   ❤️ 1
想起了我这个帖子里,不少人还在讨论现在都什么年代,哪里还有什么流氓软件。
https://www.v2ex.com/t/744894
moioooo
    183
moioooo  
   2021-01-17 16:02:20 +08:00
刚加了规则,突然发现 QQ 音乐也在搞事
Ackvincent
    184
Ackvincent  
   2021-01-17 16:06:06 +08:00
搞的我连看雪都打不开了
tangkaichuan
    185
tangkaichuan  
   2021-01-17 16:08:46 +08:00 via Android
360 狂喜
JBaker
    186
JBaker  
   2021-01-17 16:09:30 +08:00
@Ackvincent 我这里还能打开……也许是因为我缓存了?
Cielsky
    187
Cielsky  
   2021-01-17 16:10:38 +08:00 via Android
@12101111 南山必胜客别跨省把你搞进去
xmoiduts
    188
xmoiduts  
   2021-01-17 16:10:51 +08:00 via Android
快进到 RDP remote APP 版 QQ (在另一台物理机运行并远程窗口到本地)
Andreas8
    189
Andreas8  
   2021-01-17 16:11:59 +08:00 via Android
安卓相册对于微信,QQ 这种软件来说是不是透明的?
renmu123
    190
renmu123  
   2021-01-17 16:15:49 +08:00   ❤️ 3
已向 http://pip.tc260.org.cn/ 进行举报
docx
    191
docx  
   2021-01-17 16:18:23 +08:00 via Android
@made 国际版都放弃了……最后更新 2014 年 😅😅😅
EVERY55
    192
EVERY55  
   2021-01-17 16:19:13 +08:00
@CivAx
@Wicked 沙盒里面运行 QQ 现实安全组件异常怎么办?
CivAx
    193
CivAx  
   2021-01-17 16:21:08 +08:00 via iPhone
@EVERY55 从来不用沙盒那种东西,解决一个需求,多出十个问题。
derekwei
    194
derekwei  
   2021-01-17 16:21:57 +08:00   ❤️ 8
某司还在 HK 上市,我觉得还可以向香港个人资料隐私专员提 complaint: https://www.pcpd.org.hk/tc_chi/complaints/how_complaint/complaint/complaint.html
renmu123
    195
renmu123  
   2021-01-17 16:23:18 +08:00
@EVERY55 #191 因为 qq 强依赖 qqprotect,可以试试看这个绿化版 https://www.ghpym.com/pctim.html
gricn
    196
gricn  
   2021-01-17 16:41:12 +08:00   ❤️ 2
Tim 不停地在扫描所有用户文件夹,不止包括浏览器记录,还包括诸如 Yarn, npm, Jetbrains 等各种
![截图]( )
ryh
    197
ryh  
   2021-01-17 16:44:14 +08:00
游戏更恐怖全部要求管理员权限,tx 的游戏 tos 里都明确的写了要读飞机软件的配置,牛大发了
LOVOQ
    198
LOVOQ  
   2021-01-17 16:45:25 +08:00
我在用 mod 后 tim 3.00 目前使用火绒剑没有查找到 History 相关键值 仅供参考
Xhack
    199
Xhack  
   2021-01-17 16:47:35 +08:00
各位有火绒规则配置吗
chust
    200
chust  
   2021-01-17 16:51:48 +08:00
我用户文件夹下的 AppData 目录里的子目录,在开机一段时间后无法删除,检查占用的进程提示是 System 。看到这个贴子之后把 QQ 退出了,然后再点一下删除,顺利删掉了。。。删掉了。。。
因为无法删除目录,之前我的 Adobe Illustrator 都没法启动,它在启动时貌似要修改用户目录里的文件夹,无法修改就拒绝启动。
1  2  3  4  5  6  
关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1199 人在线   最高记录 5497   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 35ms · UTC 19:10 · PVG 03:10 · LAX 12:10 · JFK 15:10
Developed with CodeLauncher
♥ Do have faith in what you're doing.