V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mengyx
V2EX  ›  互联网

QQ 正在尝试读取你的浏览记录

  mengyx · 320 天前 · 86430 次点击
这是一个创建于 320 天前的主题,其中的信息可能已经有所发展或是发生改变。

前些天用 QQ,为了防止一些流氓行为,特地去的 MS Store 里面安装的 QQ 桌面版。

幸好之前用火绒的自定义拦截功能,设置了一些重要或敏感数据目录的保护。

拦截日志如下:

Imgur

第 1 条附言  ·  318 天前
@qwqdanchun #21 对 QQ 的行为进行进行了逆向分析,实锤了 https://bbs.pediy.com/thread-265359.htm
第 2 条附言  ·  318 天前

以History为关键字,最早可以追溯到9.1.5版本(2019年6月),这么说此种行为至少已经进行一年半了:

第 3 条附言  ·  317 天前

简单总结一下:

影响范围

具体行为

  1. 登录10分钟之后,读取浏览器浏览历史
    • 读取 %LocalAppData% 目录下所有基于Chromium的浏览器历史记录;具体见@qwqdanchun #21 的分析
    • 读取IE历史(FindFirstUrlCacheEntryW),具体见 @raion #229
  2. 对读取到的url进行md5,并在本地进行比较 @swchzq #157
  3. md5匹配的情况下,上传相应分组ID(主要为电商、股票等关键词),详见@Terang #166, @raion #229

事件进展

  • 目前,QQ 9.4.2 (发布于2021/01/17 20:32)移除了相应代码,暂停了侵害行为 (thx: @weifan #368)
  • 目前,TIM 3.3.0 (发布于2021/01/17 21:39)移除了相应代码,暂停了侵害行为
589 条回复    2021-02-15 16:20:56 +08:00
1  2  3  4  5  6  
renmu123
    1
renmu123   320 天前 via Android   ❤️ 8
qq 还有一个更流氓的 qqprotect 的,安装完 qq 或 tim 后自动启动,无法关闭,关闭后 qq 将无法打开,美其名曰保护你的安全
mengyx
    2
mengyx   320 天前   ❤️ 1
@renmu123 #1 商店里面安装的没有 QQ Protect 。就是因为这个原因,才选择从 MS Store 安装。版本比较旧,不过能用就是了
heiyutian
    3
heiyutian   320 天前 via Android
@renmu12
24 小时监控?牛逼啊,现在尽量能不用不用了。
invalid522
    4
invalid522   320 天前   ❤️ 1
如果电脑有敏感文件而又不得不长期使用某些流氓软件,虚拟机或者两部 PC 的配置还是刚需……
wwqm2
    5
wwqm2   320 天前
专门一个手机做这方面用途
hzqim
    6
hzqim   320 天前
@mengyx 楼主能分享一下其它自定义拦截设定吗?
mengyx
    7
mengyx   320 天前
@invalid522 #4
@wwqm2 #5
确实 当时大意了
mengyx
    8
mengyx   320 天前   ❤️ 6
@hzqim #6 我的话,主要就是
- SSH(和 Key)数据 C:\Users\XXX\.ssh
- GPG 数据 C:\Users\XXX\.gnupg
- 微信数据 C:\Users\XXX\Documents\Tencent Files
- 浏览器数据 C:\Users\XXX\AppData\Local\Microsoft\Edge C:\Users\XXX\AppData\Local\Google\Chrome
jasonreg
    9
jasonreg   320 天前 via iPhone   ❤️ 1
可以试试 Windows Sandbox
BwNVlwSq
    10
BwNVlwSq   320 天前 via iPhone
没想到 QQ 这么骚……
hzqim
    11
hzqim   320 天前
@renmu123 #1 用绿色版。
yanzhiling2001
    12
yanzhiling2001   320 天前
自动看过一个帖子,tim 会读取梯子配置文件之后,我就重装系统,把大部分全丢尽虚拟机了,物理机唯一的一个国产软件就是雷神加速器。
qa63842
    13
qa63842   320 天前 via Android
没想到啊
Cooky
    14
Cooky   320 天前 via Android
sandboxie 还能用
mengyx
    15
mengyx   320 天前
@jasonreg #9
@Cooky #14
其实电脑里面都有,有时候就是因为懒,甚至只是一不留神……
Mac
    16
Mac   320 天前
有啥火绒的规则可以分享伐?我都是默认的
mengyx
    17
mengyx   320 天前   ❤️ 1
@Mac #16,我电脑里面没什么个人文件,所以只上了#8 里面几条
其他的可以去火绒的论坛里面看下,https://bbs.huorong.cn/forum.php?mod=forumdisplay&fid=45&filter=typeid&typeid=61
其实想一想哪些数据对自己重要,整个目录包含进去,只允许对应的程序读取就好
mengyx
    18
mengyx   320 天前   ❤️ 1
@mengyx #8 勘误
微信数据是 C:\Users\XXX\Documents\Wechat Files
C:\Users\XXX\Documents\Tencent Files 是 QQ 的数据,贴错了
Cooky
    19
Cooky   320 天前
@mengyx 那就别在电脑开了,手机开 TIM,权限管严点,scrcpy 在电脑用
SekiBetu
    20
SekiBetu   320 天前
国产软件没办法的
qwqdanchun
    21
qwqdanchun   319 天前   ❤️ 25
其实不是针对 Chrome,https://bbs.pediy.com/thread-265359.htm
brainor
    22
brainor   318 天前   ❤️ 4
@qwqdanchun 这也太搞笑了…澄清了不是爬了 Chrome 的历史文件,而是爬了所有浏览器的历史文件哈哈
brainor
    23
brainor   318 天前
@qwqdanchun 不仅是历史文件,我突然想到各个浏览器的 cookies 从外部也是能直接访问到的,不知道 QQ 有没有这样的行为呢?
monsterX
    24
monsterX   318 天前 via Android
@brainor 按照#21 的分析来看,应该只是浏览记录
SekiBetu
    25
SekiBetu   318 天前
请问有什么解决办法吗,发现读取的不止一个软件
qwqdanchun
    26
qwqdanchun   318 天前
@SekiBetu 类似火绒 hips 之类的软件都可以
shanliang
    27
shanliang   318 天前
mac 上能复现吗?
momocraft
    28
momocraft   318 天前
win store 的 uwp 版去年年底起无法新登录. 现在 win store 能用的只有那个 exe 版, 结果还这么猛.
gxgxxn
    29
gxgxxn   318 天前
@renmu123 大半年没打开过 QQ 发现 QQProtect 竟然还作为服务运行这,而且不能停止。。。
momocraft
    30
momocraft   318 天前
如果还是想用 uwp 的 exe 版 qq (猜测相比腾讯自己发布的, 可能已经是洁版了) 可以用 sandboxie 等东西跑吗?
mengyx
    31
mengyx   318 天前
@shanliang #27 目前都是在 Windows 上面测试的;理论上 Mac 上面也可以读取,你可以验证一下试试
qwqdanchun
    32
qwqdanchun   318 天前
@shanliang 没有 mac 设备,等一手别人的后续分析
mengyx
    33
mengyx   318 天前
krisitina
    34
krisitina   318 天前   ❤️ 2
https://github.com/milkice233/efb-qq-slave
可以试试这个吧, 微信 QQ telegram 一把梭
Les1ie
    35
Les1ie   318 天前   ❤️ 2
chenjian026
    36
chenjian026   318 天前 via Android
国内很多大众化的软件都会读取你的 V2RAY 文件夹
Williams2008
    37
Williams2008   318 天前 via Android
@momocraft 麻花疼远程施法?看来只能上虚拟机了,流氓快要把我逼成技术专家了
sublimevsatom
    38
sublimevsatom   318 天前
看到这个,我想到了这个腾讯 doh 的 edns client subnet 的支持,是直接发送整个本地 ip 公网地址的,
阿里的 doh 也没有这样做,它是发送本地 ip 地址的 /24 。
cloudflare 和 google 的 doh 也是没有这样做的。
所以,我想,在腾讯面前根本就没有隐私吧
talen666
    39
talen666   318 天前
法律不管,很难处理
jarodlee
    40
jarodlee   318 天前
腾讯真是太牛 B 了....只能说以后 QQ 请到虚拟机中运行吧,惹不起
gstqc
    41
gstqc   318 天前
澄清一下:我不是针对谁,我是说在座各位,都被我扒光了
tearslee
    42
tearslee   318 天前
看了 https://bbs.pediy.com/thread-265359.htm 的文章,吓得我立马建了个规则,靠
Rainyf
    43
Rainyf   318 天前
我一直以为国产软件是直接抓包偷信息的。。。。
仅看 qq 偷 chrome 记录的事,无痕浏览就可以防了?
aceralon
    44
aceralon   318 天前   ❤️ 15
可以通过
Windows 安全中心-病毒和威胁防护-勒索软件防护-文件夹访问限制
来阻止访问,然后通过允许应用允许浏览器访问这些文件夹
zhxhwyzh14
    45
zhxhwyzh14   318 天前 via Android
@aceralon 好方法,谢谢分享
est
    46
est   318 天前   ❤️ 4
chrome 启动参数

--user-data-dir=/opt/other/my.chrome

不用谢。
TheEastWind
    47
TheEastWind   318 天前
@mengyx 楼主说,“前些天用 QQ,为了防止一些流氓行为,特地去的 MS Store 里面安装的 QQ 桌面版。”就是你链接里的那个
bihui
    48
bihui   318 天前
所以大佬,自定义拦截在哪儿?
BigbyWolf
    49
BigbyWolf   318 天前   ❤️ 1
https://github.com/sandboxie-plus/Sandboxie
都侵入式审核了,也是因为"如果非用不可的话"。
chinvo
    50
chinvo   318 天前 via iPhone   ❤️ 1
澄清一下:我们 QQ 不是针对 chrome 你一家
BFDZ
    51
BFDZ   318 天前
安卓手机也会读吗?手机没有自定义文件防护,文件读取只能全局放行
duebasser
    52
duebasser   318 天前
哦豁,导入社区分享的规则失败,新版本好像只能手动导入
festoney8
    53
festoney8   318 天前
process monitor 过滤规则 Path 包含 History 有惊喜,连 Chrome 插件的 history 都没放过
NSAgold
    54
NSAgold   318 天前
@duebasser 因为你用的规则 json 是针对旧版本的 打开 json 会发现明显的“3.0”字样 新版的是“5.0”字样
ifxo
    55
ifxo   318 天前   ❤️ 1
十几年前就是这样,lz 还跟发现新大陆了一样。。。
skadi
    56
skadi   318 天前
笑死.
myself659
    57
myself659   318 天前
数据加密解决大部分问题,所以区块链走起来
imacyho
    58
imacyho   318 天前
楼主能不能分享一下规则
mengyx
    59
mengyx   318 天前
@ifxo #55 倒不是吧,以前也对这些目录开启的监控和限制;这还是第一次发现未授权读取的
mengyx
    60
mengyx   318 天前
@imacyho #58 见 #8 #17
JasperHale
    61
JasperHale   318 天前   ❤️ 5
win10 沙盒.支持配置文件挂载指定文件夹,MS Store QQ 桌面版可以提取,挂在沙盒运行,体验很好.
不过沙盒太精简了,需要把宿主机的 X:\Windows\SysWOW64 挂到沙盒,配置只读.之后就能正常运行了.
测试过常用的,微信,百度网盘等等都能正常运行,除了迅雷,一开沙盒就挂,原因未知,不排除版本问题.

参考
> [win10 沙盒配置文件]( https://docs.microsoft.com/zh-cn/windows/security/threat-protection/windows-sandbox/windows-sandbox-configure-using-wsb-file)
Biggoldfish
    62
Biggoldfish   318 天前   ❤️ 1
@aceralon
感谢分享,但这个功能好像是默认信任了许多软件?

我自己尝试将一个目录添加到 Protected folders 里面,没有额外添加 Chrome 到信任目录,但仍然可以直接从 Chrome 里读取该目录的内容( Wechat store 版本同样可以读取)。在添加信任应用的页面有说明,Apps determined by Microsoft as friendly are always allowed 。如果这样的话,可能 QQ 等都会在默认的信任列表里?(毕竟该有的数字签名都有
xou130
    63
xou130   318 天前   ❤️ 1
成功复现,用火绒就行。提个意见,火绒的自定义能白名单就更好了,指定一个 exe 只能访问哪些目录和文件
aloxaf
    64
aloxaf   318 天前   ❤️ 21
让我来猜猜腾讯会怎么应对:

1. 压热度,冷处理
2. 声称是程序员个人行为
3. 声称是测试代码,误操作编译到了正式版中
4. 声称是代码写错了,本意只是整合 QQ 浏览器历史记录
5. 声称是为了某功能(比如恶意网址识别?)而收集的,一切数据只保留在本地
TypeError
    65
TypeError   318 天前
@Biggoldfish #62 我添加 Chrome 的 user data 目录到保护文件夹后,Chrome 访问也默认阻止了
JasperHale
    66
JasperHale   318 天前
回复不支持 markdown 又忘了....
@mengyx 这个分析贴,,😂,,
ziseyinzi
    67
ziseyinzi   318 天前   ❤️ 15
有没有可能就是:腾讯只是被迫这么做,想知道你浏览记录的不是腾讯,而是别的什么组织呢?一个猜想,不一定对。
ScrapW
    68
ScrapW   318 天前
有没有办法让火绒禁止 qq 访问 appdata 下除了 qq 以外的所有文件夹
TypeError
    69
TypeError   318 天前   ❤️ 1
@ziseyinzi #67 我猜有两个目的,一是为了收集访问记录搞用户画像卖广告,二是作为 Wei Wen 工具,为组织上报“不法”行为
zhxhwyzh14
    70
zhxhwyzh14   318 天前 via Android
@TypeError 加入百名单
zhxhwyzh14
    71
zhxhwyzh14   318 天前 via Android
@TypeError 把 chrome.exe 加入白名单。
TypeError
    72
TypeError   318 天前
@zhxhwyzh14 #70 我知道,就是看下拦截能力怎么样
JBaker
    73
JBaker   318 天前
如果只是想要干掉读取历史记录这么一条的话,加一条 *\User Data\Default\History 的规则就可以了。
不过如果想保护更多东西的话,还是自己写记录比较好,写覆盖全一点的。
yukiww233
    74
yukiww233   318 天前   ❤️ 2
tim 复现了
还不让在沙盒里跑,吐了
Biggoldfish
    75
Biggoldfish   318 天前
@TypeError
感谢,我把 Chrome 的目录添加进去确实访问会被弹窗限制
lio444
    76
lio444   318 天前
@mengyx
感觉分享,已经设置一波。
Ayersneo
    77
Ayersneo   318 天前 via Android
@aloxaf 我总感觉腾讯不会回应😥
littlewing
    78
littlewing   318 天前
很好奇,Mac 能防住这种流氓吗,从 App Store 安装软件的版本
vate32
    79
vate32   318 天前
@aceralon 用 Windows 安全中心的这个方法好像默认会添加\Documents 等文件夹为保护对象,还不能删除。但是 QQ 必须需要这个用作保存聊天记录等,只能放行,但是放行的话,好像对所有的目标都放行了。。。
hellokt
    80
hellokt   318 天前
看来国产软件完全不能用了, 腾讯就是流氓中的流氓,
话说到工信部的不良于垃圾信息举报中心(12321.cn)去投诉会有用吗?
yanqiyu
    81
yanqiyu   318 天前 via Android   ❤️ 3
好家伙,幸好我是 Linux 桌面用户,根本安装不了 QQ (那个 Linux QQ 隔三差五掉线)
Kagari
    82
Kagari   318 天前 via Android
@myself659 #57 不是这个问题,数据加密了用的时候还是得解密,密钥不照样得存在本地。所以是在我们信任的设备上出现了不受信任的软件
t6attack
    83
t6attack   318 天前   ❤️ 4
用给 win 服务器做安全配置的方法,对个人 PC 也做精细化的权限配置,可以解决这个问题。但这样用电脑太不方便了。
新建一个低权限帐号,把你不想让它访问的目录一律“完全拒绝”。然后给 QQ 快捷方式加上 runas 参数。
更直观的说明:按住 shift,右键单机 应用程序 /快捷方式,有一个“以其他用户身份运行”,就是这个功能。指定一个你准备好的超低权限帐号就行。
jiuqimax
    84
jiuqimax   318 天前 via Android
太可怕了,已经不敢用 qq 了
imacyho
    85
imacyho   318 天前
@zhxhwyzh14 #71 请问怎么加入白名单,自定义防护里没有找到
cxx0739
    86
cxx0739   318 天前 via Android
已卸载
JBaker
    87
JBaker   318 天前   ❤️ 1
Firefox 的历史记录存在 C:\Users\*\AppData\Roaming\Mozilla\Firefox\Profiles\随机文件夹
有兴趣的同志们可以试着加一下规则看看,看看能不能弹出提示。
我加了一下,就只有 Firefox 弹出来过一次,QQ 目前还是没有考察那里的。当然不排除以后会考察那里的可能性。
ooooo
    88
ooooo   318 天前
尼玛 !

这不是那些流氓间谍木马才干的事吗 ???
godling
    89
godling   318 天前
@littlewing 同样好奇。mac 的设置里有个 full disk access,没有给 qq 权限不知道是不是就安全了
everydaystruggle
    90
everydaystruggle   318 天前
求证,mac 上有类似风险么?微信呢?谢谢。
zinplus
    91
zinplus   318 天前
@hellokt #80 多谢提供链接,已经举报。举报过程中是否留下联系方式是可选的。
ifxo
    92
ifxo   318 天前   ❤️ 2
@mengyx 因为腾讯也是分批次或者随机挑选的读取,不可能实时监控全世界的电脑,也没那力量,就是要混淆视听,有的人说读取了,有的人说没读取,让你摸不着头脑,不可能像你说的前些天才开始,不然咋会有 3q 大战发生,当初 360 抓 qq 现行,那都是 10 年前了吧
Victrid
    93
Victrid   318 天前   ❤️ 57
请各位注意,你们使用逆向工程方法分析腾讯公司的 QQ 软件的行为,是对腾讯公司知识产权产品的窃取,已经构成非法获取计算机信息系统数据、非法控制计算机信息系统罪。

另外,你们运用火绒干扰腾讯公司的 QQ 软件,已经导致其不能正常收集用户的浏览记录与文件,构成破坏计算机信息系统罪。火绒博锐(北京)科技有限公司提供了非法侵入、修改、干扰腾讯公司的 QQ 软件正常运行的工具,已经构成提供侵入、非法控制计算机信息系统程序、工具罪。

如果你们尽快自首,交代犯罪事实,积极消除你们对腾讯公司造成的不利影响,还可以争取宽大处理。
tsingjyujing
    94
tsingjyujing   318 天前   ❤️ 1
@yanqiyu Linux 用户握个手,逃离 Win 和这些垃圾软件真的太好了
Alphagocc
    95
Alphagocc   318 天前
@t6attack 直接火绒+仅*Tencent*文件夹放行就行了
ysc3839
    96
ysc3839   318 天前 via Android
@t6attack 这方法没用,QQ 要安装一个系统服务。
applesbananas
    97
applesbananas   318 天前 via iPhone   ❤️ 2
成功复现 TIM 读取历史记录
https://i.loli.net/2021/01/17/iTwpF3G7uexAU2a.jpg
TypeError
    98
TypeError   318 天前   ❤️ 4
@Biggoldfish @zhxhwyzh14 @ScrapW @JasperHale @aceralon @est
Windows 的保护文件夹还是不太够用,如果非得装国产,推荐把国产软件全扔 sandboxie 里

https://github.com/sandboxie-plus/Sandboxie
NekoTMG
    99
NekoTMG   318 天前
@Victrid 太对了哥
yuu95
    100
yuu95   318 天前 via Android
还是沙盒开起来吧。。。。 这谁受得了
1  2  3  4  5  6  
关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3515 人在线   最高记录 5497   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 30ms · UTC 09:56 · PVG 17:56 · LAX 01:56 · JFK 04:56
♥ Do have faith in what you're doing.