V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mengyx
V2EX  ›  互联网

QQ 正在尝试读取你的浏览记录

  mengyx · 96 天前 · 76109 次点击
这是一个创建于 96 天前的主题,其中的信息可能已经有所发展或是发生改变。

前些天用 QQ,为了防止一些流氓行为,特地去的 MS Store 里面安装的 QQ 桌面版。

幸好之前用火绒的自定义拦截功能,设置了一些重要或敏感数据目录的保护。

拦截日志如下:

Imgur

第 1 条附言  ·  94 天前
@qwqdanchun #21 对 QQ 的行为进行进行了逆向分析,实锤了 https://bbs.pediy.com/thread-265359.htm
第 2 条附言  ·  94 天前

以History为关键字,最早可以追溯到9.1.5版本(2019年6月),这么说此种行为至少已经进行一年半了:

第 3 条附言  ·  93 天前

简单总结一下:

影响范围

具体行为

  1. 登录10分钟之后,读取浏览器浏览历史
    • 读取 %LocalAppData% 目录下所有基于Chromium的浏览器历史记录;具体见@qwqdanchun #21 的分析
    • 读取IE历史(FindFirstUrlCacheEntryW),具体见 @raion #229
  2. 对读取到的url进行md5,并在本地进行比较 @swchzq #157
  3. md5匹配的情况下,上传相应分组ID(主要为电商、股票等关键词),详见@Terang #166, @raion #229

事件进展

  • 目前,QQ 9.4.2 (发布于2021/01/17 20:32)移除了相应代码,暂停了侵害行为 (thx: @weifan #368)
  • 目前,TIM 3.3.0 (发布于2021/01/17 21:39)移除了相应代码,暂停了侵害行为
589 条回复    2021-02-15 16:20:56 +08:00
1  2  3  4  5  6  
acess
    301
acess   93 天前   ❤️ 1
@bin456789
这个例子,也许算是“不放弃治疗”。
背景是这样:众所周知很多流氓软件会改系统关联,改默认浏览器 /播放器等等,毕竟是兵家必争之地。微软呢,很显然也很想推自己家的 Edge 浏览器。
然后,我就看到了这么几件事:
1.新闻报道 Win10 出现新 bug“闪屏抽搐”,原因是系统在把被篡改的关联强制改回来,对于浏览器,就是重置回 edge 。
2.可以看到有人公开过逆向分析,揭示出 Win10 是怎么保护默认关联的——然后,这个保护很显然是可以绕过的,原文就提到了绕过保护的方法。
3.某浏览器为了防止自己设定的默认浏览器被别人篡改,用内核驱动监视、锁定了有关默认浏览器的注册表项,然后 explorer 试图把默认浏览器重置回 edge 时,访问被驱动拦截、拒绝,导致桌面图标和任务栏消失“黑屏”的故障。

也许“不放弃治疗”并不是没有效果,可以阻挡最小白的坏人,但在我看来实际情况还是不忍直视。
Dwayne
    302
Dwayne   93 天前   ❤️ 34
Dkngit
    303
Dkngit   93 天前
@Dwayne 大触
Dwayne
    304
Dwayne   93 天前
@Dkngit #303 纯转 不是我画的 搜了下找不到来源..
Aaralyn
    305
Aaralyn   93 天前   ❤️ 14
国内互联网就是毒瘤,整个大环境就是养蛊,最后能存活下来的都是大毒虫。

BAT 三巨头都是些什么玩意儿啊,最恶心的还是这些企业干了这么多昧良心的事一点惩罚也没有。
orzfly
    306
orzfly   93 天前   ❤️ 3
Betty
    307
Betty   93 天前
那微信 PC 版会不会也做同样的事?有没有高人验证一下
bin456789
    308
bin456789   93 天前
@yanqiyu 这就不对了,Lastpass 这些软件保存的密码第三方能读?
Chrome 都用谷歌帐号登录了,每个谷歌账户自动对应一个唯一的密钥加密不就行了?

说得太多了,楼被我带歪了
不过我就觉得这事不合理
lifetimeporn
    309
lifetimeporn   93 天前
我看腾讯对这次的曝光是想要冷处理,晾你们几天,这种曝光热度自然没法持续
热度下去了没人讨论,所有人都当作这事没发生
所以我在此呼吁各位加快自己转向其他通讯软件(例如 TG )作为主力通讯工具的步伐
实在要用腾讯全家桶,尽量把客户端安装在虚拟机上运行,甚至不使用 PC\Mac\Linux 客户端
目前不知 iOS 、安卓是否会这样明目张胆窃取隐私,但至少在还能自己有那么点控制权的个人电脑上能避一端是一端
foldblade
    310
foldblade   93 天前
imycc
    311
imycc   93 天前
@Betty 用同样的检测工具( process monitor ),没找到微信操作 AppData/Local/目录的行为,其他的有没有就不知道了
tutugreen
    312
tutugreen   93 天前   ❤️ 2
整了一个火绒白名单方式限制 Tencent 系的规则(
目前使用良好(只试了 QQ 和微信

https://bbs.huorong.cn/thread-79373-1-1.html
JasonBorn
    313
JasonBorn   93 天前
@cnfzv 沙盒设置里不是可以添加文件夹的访问吗?
matenshi
    314
matenshi   93 天前
@Dwayne 底裤都给你们扒了
ddsfeng
    315
ddsfeng   93 天前   ❤️ 4
掐指一算, 这个功能是从 QQ v9.0.4.23766 (cnbeta.com/articles/soft/737285.htm) 这个版本中加入的(2018 年 06 月 16 日 发布), 上一个版本 QQ v9.0.3.23756 (cnbeta.com/articles/soft/732535.htm) 中并没有这段代码(2018 年 06 月 01 日 发布).

并不像楼主所说的, 从 v9.1.5 加入的, 而是更高.
canwushuang
    316
canwushuang   93 天前 via Android
@krisitina qq 支持好像不是很好。微信倒还行。
jimmyczm
    317
jimmyczm   93 天前
万恶的腾讯,建议早日拆分
pengle44
    318
pengle44   93 天前
妈的,麻痹大意了。国内对腾讯的印象还蛮好的,比较低调,不像 jack ma,周大炮大放厥词。很多软件广告少点,例如 qq 输入法,qq 影音什么的。想不到啊,CTM,除了公司电脑,其他 3 台电脑卸载所有国内软件。对国产彻底失望了。
HongJay
    319
HongJay   93 天前
这也太恶心了。。根本没有防范的手段
weifan
    320
weifan   93 天前
@derekwei 已反馈...犯罪成本太低了
pengle44
    321
pengle44   93 天前   ❤️ 2
连带 wps,百度网盘 ,迅雷 ,搜狗浏览器,全卸掉。国产软件真的不可以相信,如当年的三鹿奶粉一样。
canwushuang
    322
canwushuang   93 天前 via Android
@monsterX 移动端直接开相机,上麦克风,读输入法记录了。
yangzhaofeng
    323
yangzhaofeng   93 天前
![image.png]( https://i.loli.net/2021/01/17/hiGodrWMz6Onfe4.png)

不知這個裡面是什麼,但是看文件名,qq 連 rsa 信息都在讀
windyskr
    324
windyskr   93 天前 via Android
真的毫无底线,那么在 MAC 有没有这种行为呢?
canwushuang
    325
canwushuang   93 天前 via Android
@dreamtrail 不一样,一个是,我知道他知道我知道什么。另一个是,我不知道他知道我知道什么。
liyvhg
    326
liyvhg   93 天前 via Android
@Victrid 腾讯:各位,欢迎一个个都来深圳南山一日游
weifan
    327
weifan   93 天前
@tutugreen huorong 那没了!另外这个规则是不管安装位置在哪都行的吧?
typeday
    328
typeday   93 天前
@pengle44 就像职场中背后捅你一刀的都是平时看上去很低调的,喜欢出风头大放厥词的人仅仅是看上去惹人厌但不会对你有什么威胁。
tutugreen
    329
tutugreen   93 天前   ❤️ 3
@weifan 刚刚楼下反馈 360 有问题,就编辑更新了一下,可能提到了什么关键字,变审核了 orz

可以这里下: https://github.com/tutugreen/Huorong-Rules/tree/main/Tencent

这个是假设你的安装目录是在 任意 Tencent 目录(包括子目录) 下(比如 QQ 是 C:\Program Files (x86)\Tencent\QQ\ )。

TX 目前包括 Common Files 、AppData 都是起名的 Tencent,就直接匹配了,如果你装在别的目录了,可以修改一下“发起程序”。(如果 tx 以后自己改了,到时再更新)

聊天记录也是不分盘符,匹配 Tencent Files 、WeChat Files 之类的,有需要也可以加。
jianshu
    330
jianshu   93 天前
@tutugreen tencent-auto.json 会提示导入失败,tencent-custom.json 正常,火绒为最新版本。
intelmd
    331
intelmd   93 天前 via Android
想知道微信 pc 版会吗?
yklaxds
    332
yklaxds   93 天前 via Android
果然国产软件都是毒瘤
Mac
    333
Mac   93 天前
@jianshu #330 自定义规则和自动处理规则导的地方不一样的。我一开始也被这个困惑了好久,而且火绒官网的规则频道也没什么指导性说明,就是很乱,刚进这个频道完全一脸懵逼。进了自定义防护后,顶部两个 TAB 很不明显的。
jianshu
    334
jianshu   93 天前
@Mac 谢谢,好久不用火绒了~
CatalystR
    335
CatalystR   93 天前
用 win10 的勒索软件防护.不知道能不能挡得住
===================================
①管理员已阻止此操作。
已阻止应用或进程: QQ.exe
受保护的文件夹: %userprofile%\Documents
阻止者:文件夹限制访问
你可以允许应用访问受保护的文件夹,但应仅允许你信
任的应用。
===================================
aceralon
    336
aceralon   93 天前 via Android
@Biggoldfish

实测 QQ 和 tim 并不在默认信任的应用里面
lerry
    337
lerry   93 天前
怕他们耍流氓,我也是在 Store 装的,没想到。。
lyzy
    338
lyzy   93 天前 via iPhone
哎..
lerry
    339
lerry   93 天前
上次为了下载一个淘宝客服发过来的 word 文件,下载了阿里旺旺买家版(手机淘宝,旺信什么的都试了,无法下载)

用完马上卸载了,结果发现还是给我留下了两个程序,支付宝安全控件,支付宝数字证书组件

还有一个运行中的服务,Alipay payment client security service

看来他们是不懂卸载什么意思,太恶心了
ga6840
    340
ga6840   93 天前 via Android
已经在 hacker news 上首页了
oyss
    341
oyss   93 天前
目前我是这样处理,也不用火绒,新建一个本地账号.然后以其他账户打开 qq.这样 qq 就只会去扫你新建的空号的浏览记录了.不会去扫你的主号.
efaun
    342
efaun   93 天前 via Android
@janssenkm #204 说不定已经被 QQ 偷偷删除了😏
cnfzv
    343
cnfzv   93 天前
@BigbyWolf 默认模板阻止了吗?这个我还真不知道,没测试,尴尬了。问题是 qq 不止查看浏览器,我的观察发现搜狗输入法的词典、桌面文件都被扫了一遍,然后 User 下的用户名文件夹是不能阻止的,阻止后会导战 qq 无法启动(我用 qq9.4 27525 测试的),我以为可以设置白名单的,研究了好久发现只有黑名单。qq 这玩意你没法保证不会扫描别的文件夹。
ZELINK
    344
ZELINK   93 天前
@oyss ok 吗?
ZELINK
    345
ZELINK   93 天前
@flyn History 是一个文件不是目录,用 Chrom 浏览器的都存在“C:\Users\***\AppData\Local\Google\Chrome\User Data\Default”里面
Planarians
    346
Planarians   93 天前 via iPhone
@ytoworld 怕不是就他们要求的(
dzyou2007
    347
dzyou2007   93 天前 via Android
话说,有高人看看 Android / iOS 的 QQ 和 TIM 吗……
wzw
    349
wzw   93 天前 via iPhone
不用又不行……
Biggoldfish
    350
Biggoldfish   93 天前
@TypeError @aceralon
看上去 Windows Defender 的这个功能只是防止修改而不限制读取,并不是默认信任的问题
cwyalpha
    351
cwyalpha   93 天前 via iPhone
搭车问下 t 家要用短信登陆怎么破 据了解目前有针对其短信的监测了
cstj0505
    352
cstj0505   93 天前 via Android
@aloxaf 鸟都不会鸟你,过几天就没人提了。倒是刚出不久个人信息保护法,不知道会不会这么快 txt
gggxxxx
    353
gggxxxx   93 天前
早就说了国内用户面对这些流氓行为应该有志气一点,直接抵制是最好的做法。
谁记得当年的绿坝?当时没有推广成功,现在分摊给各个大厂。现在的企鹅 360 本质上就是绿坝 2.0,没有一家厂商是好的。浏览器历史记录是天朝某个部门监控重中之重,而且这些厂商最喜欢干的事还有伪装成杀毒软件干收集信息的事。
LongBitcoin
    354
LongBitcoin   93 天前   ❤️ 1
国内大厂、国产软件都是毒瘤!!! CTMD 的
yanqiyu
    355
yanqiyu   93 天前 via Android
@bin456789 哪怕是 lastpass,泄露了主密钥大家也都能读。
只不过对于 chrome 而言主密钥就等于是你的 windows 的账户凭据。
保证这里的安全的核心是不要把电脑解锁了给别人,另外不要泄漏自己的账户密码,lastpass 也是一个道理,你解锁了 lastpass 时候别人至少能 dump 内存拿明文,你泄露了主密码可以直接解析你的密码库。
哪怕每个 Google 账户被一个密钥加密,这个密钥的密码放在哪儿?要是放在用户脑袋里面,每次打开浏览器(或者使用填充)都得输入一次密码?这就破坏了自动填充的易用性。
Google 设计的时候就假定,每个 Windows 用户对于这个账户的资源应该是完全控制,要是要把电脑交给别人用,自然应该建立一个新账户。
jy02201949
    356
jy02201949   93 天前
@pengle44 #318 当年 QQProtect 后台自动下载安全管家并强制安装,这个公司在我心里就彻底烂掉了,所有腾讯系的都沙盘伺候
fuwu1245
    357
fuwu1245   93 天前
Mac QQ 是不是也是类似呢?
Mac 下有没有类似 ProMon 的工具
testver
    358
testver   93 天前   ❤️ 1
看来沙盘也没用,win 下只能虚拟机装国产软件了
fanling521
    359
fanling521   93 天前
你还有隐私可言嘛 无所谓的
ihipop
    360
ihipop   93 天前 via Android
@est 读你启动参数可破
Oysmart
    361
Oysmart   93 天前
@yangzhaofeng 这是啥监控软件?
PeacePeach
    362
PeacePeach   93 天前
有一个问题:所有在腾讯的码农兄弟都是同谋吗?
mm163
    363
mm163   93 天前   ❤️ 2
产品经理为了业绩毫无底线;监管不力投诉无门;用户普遍无所谓(跟他说 qq/tim 读取你的上网记录,告诉我:那又怎样);劣币驱逐良币恶性循环,造成国内互联网 /移动互联网企业大都一个模子扣出来的。
weifan
    364
weifan   93 天前
@yanqiyu 所以说浏览器有记住密码的得赶紧改密码了是吗🤣
weifan
    365
weifan   93 天前
@lifetimeporn 替换是不可能的,这玩意取决去别人!沙盒是一个不错的选择吧
isnullstring
    366
isnullstring   93 天前
幸好没装
Oysmart
    367
Oysmart   93 天前   ❤️ 1
我在想火绒不会上传用户隐私么?
weifan
    368
weifan   93 天前
jaleo
    369
jaleo   93 天前
QQ7.9 轻聊版 没有发现这种行为
ju5t4fun
    370
ju5t4fun   93 天前
好家伙,火绒添加规则后抓住 AutoDesk 读取了我浏览器目录和 SS 目录
anonymous1024
    371
anonymous1024   93 天前
这个帖子居然没有水深火热。垃圾腾讯
samgy66
    372
samgy66   93 天前
@tutugreen 两个规则都导入失败,火绒显示“未发现可以导入的规则”
NeoChen
    373
NeoChen   93 天前
windows 环境全靠火绒了,不知道 Mac 下有没有类似问题。。。
brucmao
    374
brucmao   93 天前
@BigbyWolf #290 试了下禁用 C:\Users\user\ 目录读取,tim 启动就崩溃,tim 版本
https://www.ghpym.com/pctim.html
santheniko
    375
santheniko   93 天前
360 也不是好鸟,之前曝光过随意上传他认为用户系统内可疑文件的丑闻。
ShuangChenyue
    376
ShuangChenyue   93 天前
用 sandboxie 会被读取到浏览器记录吗?
bin456789
    377
bin456789   93 天前 via Android
@yanqiyu 密钥可以是自动的,让谷歌自动生成分发。
关于 dump,我之前回复其他人也说了, 不能因为一部分漏洞而放弃治疗。
另外 ChromePass 这个软件,官网显示,对新版 Yandex 浏览器无效,Chrome 也可以参考 Yandex 浏览器设计加密。
或者换个思路。我密码都在谷歌服务器里面了,完全可以设计成要登录的时候,从谷歌服务器获取单个网站的密码。
zhang0320
    378
zhang0320   93 天前
啊这。。。顶个热度
axcjj
    379
axcjj   93 天前
啊这 ,,
danclark
    380
danclark   93 天前   ❤️ 6
如果是石锤的话,这个行为很可能已经触犯了「刑法」 253 条之一第三款的「侵犯公民个人信息罪」建议各位程序员大佬们多多录屏取证,有条件的给录屏做一个可信时间戳,不然以后就很难固定证据了。
————————————————————————————————
《中华人民共和国刑法( 2017 修正)》
第二百五十三条之一 [侵犯公民个人信息罪] 违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
Illusionary
    381
Illusionary   93 天前   ❤️ 1
说不定这也是维稳工作的一部分,上头命令呢
honeyshine75
    382
honeyshine75   93 天前   ❤️ 1
@BigbyWolf 老哥,能不能来个教程,怎么防止访问敏感数据
las917vki
    383
las917vki   93 天前
你跟你女朋友的聊天、打情骂俏、one night love,你的家人,你的工作,你每天吃什么去哪里,都在 tencent 的范围内,你又能逃到哪里去?
躺平接受,不用挣扎了。
没有竞争的结果就是你只能接受。

要挣扎,就去 Telegram 。
liuran
    384
liuran   93 天前
@bin456789 #276 卧槽,吓死个人,果然我当初就感觉有点不对换 keepass 是对的
Semidio
    385
Semidio   93 天前
@testver #358 大多数沙盘软件默认情况下只保护写不保护读,你得手动禁止相关目录的读取权限。
wangkun025
    386
wangkun025   93 天前
QQ 已经卸载。
pooorguy
    387
pooorguy   93 天前 via Android
@ooooo 哎!今天你就见到了啦!
pdpdpd
    388
pdpdpd   93 天前
TIM 有没
WIIIII
    389
WIIIII   93 天前
关注 TIM 有没有
weifan
    390
weifan   93 天前
@tutugreen 导入失败
weifan
    391
weifan   93 天前
@tutugreen 你这个规则(auto)和新建导出的对比就有差别。
xishijt
    392
xishijt   93 天前
QQ9.1.9.可以复现
ryansvn
    393
ryansvn   93 天前
不光是企鹅,所有的国产,都是虚拟机靠谱啊
xml123
    394
xml123   93 天前
@Lightbright #112 请问这个修改的效果是什么,有来源吗
zyzand
    395
zyzand   93 天前 via Android
有么有大佬分析一下安卓端的
jiezhi
    396
jiezhi   93 天前 via iPhone
腾讯:亲,决定,火绒、QQ 二选一吧
coolnow
    397
coolnow   93 天前
国产软件彻底沦陷
DT37
    398
DT37   93 天前
@pengle44 你看的见的坏不是坏,看不见的威胁才最大
jiezhi
    399
jiezhi   93 天前
看雪那个帖子不能评论了吧,其他帖子有回复框,那个帖子显示我没登录
terence4444
    400
terence4444   93 天前 via iPhone
@las917vki 我的家庭范围消息已经切换到 iMessage 了。
1  2  3  4  5  6  
关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3513 人在线   最高记录 5497   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 29ms · UTC 08:26 · PVG 16:26 · LAX 01:26 · JFK 04:26
♥ Do have faith in what you're doing.