这是一个创建于 1407 天前的主题,其中的信息可能已经有所发展或是发生改变。
前些天用 QQ,为了防止一些流氓行为,特地去的 MS Store 里面安装的 QQ 桌面版。
幸好之前用火绒的自定义拦截功能,设置了一些重要或敏感数据目录的保护。
拦截日志如下:
第 1 条附言 · 2021-01-17 00:57:25 +08:00
@qwqdanchun #21 对 QQ 的行为进行进行了逆向分析,实锤了 https://bbs.pediy.com/thread-265359.htm
第 2 条附言 · 2021-01-17 12:50:59 +08:00
以History为关键字,最早可以追溯到9.1.5版本(2019年6月),这么说此种行为至少已经进行一年半了:
-
AppUtil.dll (有腾讯的数字签名)
- SHA256: C9FD14D538AAEFBC0624F3E50BF582C4306D7674F70518070B3D1179BFD596D7
- QQ 9.1.5 下载来源
第 3 条附言 · 2021-01-18 11:31:03 +08:00
简单总结一下:
影响范围
- QQ Windows 9.0.4 (发布于2018/06/15)之后的版本 (thx: @ddsfeng #315)
- TIM Windows 3.1.0 (发布于2020/07/29)之后的版本
具体行为
-
登录10分钟之后,读取浏览器浏览历史
- 读取
%LocalAppData%目录下所有基于Chromium的浏览器历史记录;具体见@qwqdanchun #21 的分析 - 读取IE历史(FindFirstUrlCacheEntryW),具体见 @raion #229
- 读取
- 对读取到的url进行md5,并在本地进行比较 @swchzq #157
-
md5匹配的情况下,上传相应分组ID(主要为电商、股票等关键词),详见@Terang #166, @raion #229
- 第三个字符串应为
uland.taobao.com/sem/tbsearch?(来自知乎用户Harrion)
- 第三个字符串应为
事件进展
- 目前,QQ 9.4.2 (发布于2021/01/17 20:32)移除了相应代码,暂停了侵害行为 (thx: @weifan #368)
- 目前,TIM 3.3.0 (发布于2021/01/17 21:39)移除了相应代码,暂停了侵害行为
 |
401
czfy 2021-01-18 12:11:29 +08:00
nb 啊,靠这个帖子让腾讯进行了更新移除相应代码
就是不知道之后会不会在哪个版本又加回来 |
 |
403
Nachtblut 2021-01-18 12:21:15 +08:00  10
有谣言说 qq 会盗取用户的浏览历史,我在这里澄清一下:这不是谣言。
|
 |
404
tLbf2p3UC4BM3H1N 2021-01-18 12:26:09 +08:00
火绒添加自定义防护策略: https://www.weifanjun.com/148.html
|
 |
405
resu 2021-01-18 12:27:32 +08:00
影响范围和事件进展,好评!
|
 |
406
chnhyg 2021-01-18 12:28:56 +08:00 via iPhone
可悲。
|
 |
407
lwlizhe 2021-01-18 12:44:24 +08:00
知乎上原作者(如何看待 QQ 扫描读取所有浏览器的历史记录? - 簞純的回答 - 知乎
https://www.zhihu.com/question/439768601/answer/1682945527)说了可能是误会 因为这些浏览记录也就到获取这一步,并对证券和购物网站对比上传,其他 cookie 密码这种并没处理,也就是说,隐私信息是相对安全的 不知道是不是真的 |
|
408
lwlizhe 2021-01-18 12:45:41 +08:00 1
@lwlizhe
知乎上原作者说了,可能是误会 因为这些浏览记录也就到获取这一步,并对证券和购物网站对比上传,其他 cookie 密码这种并没处理,也就是说,隐私信息是相对安全的 不知道是不是真的 (如何看待 QQ 扫描读取所有浏览器的历史记录? - 簞純的回答 - 知乎 https://www.zhihu.com/question/439768601/answer/1682945527 ) |
 |
409
jasonlz 2021-01-18 12:48:55 +08:00
内网负责人已经澄清了,是因为某个 QQ 的安全问题,而且只是 PC 端扫描,并没有做保持或者上传信息。
我厂的公关真是效率低下,三天了也没个官方声明。 |
 |
410
chwken 2021-01-18 13:10:59 +08:00
不知腾讯浏览器对历史记录是如何利用的?
|
 |
412
Pazakui1259 2021-01-18 13:16:27 +08:00
腾讯 QQ 官方账号在知乎相关问题已经发表了一个回答:
如何看待 QQ 扫描读取所有浏览器的历史记录? - 腾讯 QQ 的回答 - 知乎 https://www.zhihu.com/question/439768601/answer/1683913941 “所有相关数据不会上传至云端,不会储存,也不会用于任何其他用途。” |
 |
413
Dvel 2021-01-18 13:22:44 +08:00 4
|
 |
415
ooooo 2021-01-18 13:27:06 +08:00 2
|
 |
416
monsterX 2021-01-18 13:30:40 +08:00 via Android 21
完全说不通哈。如果是为了防止恶意登录,那为什么是登陆成功十分钟后进行,而不是登录的时候进行
|
 |
418
Hozoy 2021-01-18 13:36:43 +08:00
@Pazakui1259 闭口不提淘宝天猫京东那几个 URL 的作用,判断恶意登陆靠几个电商的 URL 去判断?
|
 |
419
ideacco 2021-01-18 13:39:22 +08:00
试了一下,复现了!
|
 |
421
devwolf 2021-01-18 13:46:57 +08:00
翻到了一篇热乎的安全 419 洗文,"QQ 偷看浏览器记录?别被带节奏啦"
链接是 https://baijiahao.baidu.com/s?id=1689198822854768100&wfr=spider&for=pc 然后发现#412 提到的腾讯 QQ 在知乎上的官方回答,1 小时前,也是热乎的 |
 |
422
yanqiyu 2021-01-18 13:52:30 +08:00 via Android
@bin456789 对于新浏览器无效大概只是没人愿意做,因为如果没有浏览器源代码的话开发密码查看器需要逆向浏览器(但是不会有密码学级别的障碍)
|
|
423
ideacco 2021-01-18 13:53:34 +08:00 1
我觉得这个事儿,TX 应该不会回应,因为回应了也是没啥用,反而造成越抹越黑(本来就黑)的感觉。另外最好的处理方式是让话题消失,比如让这个帖子消失……,甚至是让 V2 消失……,兄弟们,且行且珍惜吧
|
|
425
yanqiyu 2021-01-18 13:57:17 +08:00 via Android
@bin456789 接上,拿着一个 token 去 Google 服务器拿密码的设计,一方面需要时刻联网,另一方面这个 token 也不可能受到密码学级别的保护,然后依然可以被恶意程序拿走,总体上,你要么使用主密码保护,要么用上奇妙的可信计算途径,否则保护都会是掩耳盗铃,只是掩耳的力度不一样
|
 |
426
ignor 2021-01-18 13:57:33 +08:00 via Android
京东,淘宝,炒股,融券,你跟我说安全问题?
|
|
427
yanqiyu 2021-01-18 13:58:12 +08:00 via Android
@czfy 腾讯那个回应就扯...为什么恶意登录在登陆后 10 分钟检查,为什么恶意登录检查指标是电商搜索...
|
 |
429
S179276SP 2021-01-18 14:00:35 +08:00 via Android
@lwlizhe 扫描浏览器这种行为本就不应该存在,估计腾讯做的只是个测试品,被网友扒出来了,想想都后怕,必须把这种行为扼杀在摇篮之中。
|
 |
430
AlisaDestiny 2021-01-18 14:02:15 +08:00 4
@jasonlz 在屋子主人不知情的情况下私自进入屋子里翻翻有没有感兴趣的东西然后记下门牌号,你还觉得你们做的挺有理?
|
 |
431
aaaaaaaaa 2021-01-18 14:04:13 +08:00
楼主 append 一下 64 楼的回复吧
|
 |
432
hui314 2021-01-18 14:10:21 +08:00
10 年前就有认分析过这个
http://www.ipc.me/qq-invasion-of-privacy.html |
|
433
devwolf 2021-01-18 14:13:41 +08:00 1
@aaaaaaaaa 6 啊,你这一提醒,我就发现了 64 楼提到的第 5 条
“5. 声称是为了某功能(比如恶意网址识别?)而收集的,一切数据只保留在本地” 对应 “发现 PC QQ 存在读取浏览器历史用以判断用户登录安全风险的情况,读取的数据用于在 PC QQ 的本地客户端中判断是否恶意登录。所有相关数据不会上传至云端,不会储存,也不会用于任何其他用途。”。 然后 “3. 声称是测试代码,误操作编译到了正式版中” “具体情况为,该操作为历史上线的一个对抗恶意登录的技术解决方案:因系统识别有不少伪造的 QQ 客户端会恶意访问多个网站作为前期辅助工作,因此在 PC QQ 客户端中加入了检测恶意和异常的访问逻辑,以此作为辅助手段去判断恶意客户端。” |
 |
434
lackar 2021-01-18 14:17:32 +08:00
这不是犯罪吗
|
 |
435
irainsoft 2021-01-18 14:18:35 +08:00
名声只会被自己败坏
|
|
436
jasonlz 2021-01-18 14:22:58 +08:00 1
@czfy 你这冷嘲热讽又是什么价值观,对不对自由公理,我一没说这是对的,只是把我知道的实际情况说出来,就给你贴上标签,所以腾讯员工是原罪?
|
 |
437
aceralon 2021-01-18 14:24:56 +08:00
@Biggoldfish
是禁止访问读取了,试了下 magician 和 nVidia 被拒绝了,直接扫不到硬盘和检测硬盘游戏了 |
|
438
jasonlz 2021-01-18 14:25:06 +08:00
@AlisaDestiny 我这个回答哪里写了我有理,我只是一个旁观者,内网对这个事情的批评程度不比外网低,我只是说出一些我知道的信息,你有什么资格给我贴标签呢?
|
 |
439
venhow 2021-01-18 14:26:53 +08:00
咳咳,意料之中,情理之内。。。
|
|
442
Hozoy 2021-01-18 14:30:53 +08:00 5
360 安全卫士今天凌晨 0:39:34 紧急更新,最新版本已经已经默认支持拦截 QQ 的这个行为 https://p0.ssl.qhmsg.com/dr/570__100/t019157e76343e2338f.png
|
 |
443
grittiness 2021-01-18 14:30:59 +08:00
@jasonlz 我猜是你回复中用的”澄清“这个词,让人看起来就不太像站在旁观者的角度。把“澄清”换成“解释”或者会更没有立场
|
 |
445
micean 2021-01-18 14:33:55 +08:00
很多年前启动 QQ 就能让破机械硬盘嘎吱嘎吱很久了,你们为什么这么意外……
原则上除了工作所需的软件,能用 web 就只用 web |
 |
446
showgood163 2021-01-18 14:34:22 +08:00
@Victrid 哇,NB 。就算是反串,先 block 再说了。。
|
 |
447
no1xsyzy 2021-01-18 14:35:41 +08:00 3
@jasonlz 建议你重新看下你 #409 的发言是什么感情色彩,或者重新学习中文,因为中文博大精深
—— 哦,你该不会觉得博大精深是说它好吧 你若能理解到博大精深是个褒词贬用,你就应该知道中文语言腐坏问题; 如你误认为博大精深是说中文好,那你也就直接体会了一下语言腐坏的直接影响。 当然,如果你不能理解,我也可勉为其难教教你。 |
 |
448
LuoDiNate 2021-01-18 14:36:53 +08:00
腾讯还是赖啊, 没有相关法律, 程序员和 PM 也毫无底线啊
|
|
450
jasonlz 2021-01-18 14:37:34 +08:00
@no1xsyzy 如果我不是腾讯员工,你还会这么冷嘲热讽吗?你扪心自问自己,我发的
内网负责人已经澄清了,是因为某个 QQ 的安全问题,而且只是 PC 端扫描,并没有做保持或者上传信息。 我厂的公关真是效率低下,三天了也没个官方声明。 有什么问题吗?你说这么多,都是恶意的评论,有就事论事吗? |
 |
451
murmur 2021-01-18 14:38:08 +08:00 2
@yanqiyu 大概腾讯的逻辑是你会在淘宝搜索“qq 破解”这些东西,然后你就是罪犯,10 分钟扫描是怕本来 qq 就够卡了,上来扫盘直接崩,反正必胜客腾讯说啥就是啥
不足为奇,以前腾讯外服的游戏还拿过梯子数据呢,解释都比这个靠谱 |
 |
452
xiaopang132 2021-01-18 14:51:41 +08:00
给我整笑了,qq 和微信最近在 ios 上更新了一波:
原来不给照片权限还能通过系统照片里的分享功能发送图片,现在分享界面已经找不到 qq 和微信了.不给权限就别发图了 |
 |
453
ly841000 2021-01-18 14:53:44 +08:00
@jasonlz 废话, 不是 pc, 难道安卓和 ios 你有权限扫描?
解释查找这几个关键字有什么? 23, 0x1C6389BA, 0xF2FA5666, 0xF2A2E0D3, 0xC892E7BA ://S.TAOBAO.COM/SEARCH? 34, 0xB829484C, 0x520F7CC3, 0x94EC8A73, 0xD808E79 LIST.TMALL.COM/SEARCH_PRODUCT.HTM? 30, 0xDDA1029, 0x9E67F3BB, 0xB18ACC45, 0x597CF438 (未知) 21, 0x2564591C, 0x5B11347B, 0x846A0F72, 0xEF704A8 SEARCH.JD.COM/SEARCH? |
 |
454
derekwei 2021-01-18 14:57:35 +08:00
不管怎么解释,从用户角度看:不仅辣鸡,还涉嫌违法违规!
|
|
455
czfy 2021-01-18 15:10:44 +08:00 3
@jasonlz 本来确实是自有公理的;然而看着 QQ 在知乎的官方回应那和粉丝控评类似的评论区,就没什么公理可言了,毕竟腾讯财大气粗,和法院也很熟
|
 |
456
h82258652 2021-01-18 15:13:59 +08:00
不废话了,直接扔虚拟机,今天可以扫你浏览器记录,明天都不知道会不会干什么更加恶心的事情
|
 |
457
worryfree 2021-01-18 15:19:11 +08:00 2
阔怕 知乎上回答觉得自己不知道一样 大厂的嘴脸
|
 |
459
Elisa0526 2021-01-18 15:25:18 +08:00
不会有人相信 qq 的官方回应吧笑死
|
 |
460
tomcats 2021-01-18 15:27:04 +08:00
这波火绒火了,裸奔的我也下了个火绒
|
 |
461
devrockin 2021-01-18 15:27:58 +08:00
这事不简单。后面的链条到底有多长恐怕暂时也无法得知。
|
 |
462
fz420 2021-01-18 15:29:26 +08:00 10
"我每天去你家里转转翻翻,也不带走任何东西!就是每天你家里转转翻翻"。QQ 这波操作 666 啊
|
 |
463
xavierskip 2021-01-18 15:32:04 +08:00
感觉是遍历一个路径,连什么 pip 文件夹都不放过,Default\History 路径瞎读。还有超多的注册表读取,硬盘除了用户的 AppData 里到处乱读,桌面,其他盘的都有。
 tim 版本:TIM3.3.0(21970) |
 |
464
luxiaotian007 2021-01-18 15:36:50 +08:00 via Android
装个火绒吧。要不裤衩被扒下来,自己都不知道。
|
 |
465
Williams2008 2021-01-18 15:38:06 +08:00
@fz420 这个比喻让我想起几年前 QQ 浏览器对于调用前置摄像头的官方回复,果然流氓公司还是不忘初心啊
[]( https://imgchr.com/i/s6GdFf) |
 |
466
alphadog619 2021-01-18 15:42:31 +08:00 1
老大哥每天不用钥匙就进你家,看一看,翻一番,做个记录,有一天把小本本打开放在你面前。
|
 |
467
woshipanghu 2021-01-18 16:00:24 +08:00 3
@jasonlz
我怀疑你是其他大厂的 来给鹅厂拉仇恨 说的轻描淡写的只读没上传,读这么敏感的信息干嘛 是不是程序员太闲了 就喜欢多写几行代码吗? 你这还能无脑给公司洗 可能这就是鹅厂的价值观吧 用户的隐私就是个屁 |
 |
468
lp101799 2021-01-18 16:08:53 +08:00
@yanqiyu 可以用管理员权限或另外一个账户来存放密码和运行解密程序,普通账户不能读取,解密程序用数字签名来验证 chrome
这样至少没有管理员权限的程序不能获得密码 |
 |
471
tamer 2021-01-18 16:17:50 +08:00 3
一帮刁民
免费给你们下载,免费给你们用 朕看看浏览记录都不行.? |
 |
472
THP301 2021-01-18 16:22:14 +08:00
身正不怕影子歪
|
|
474
THP301 2021-01-18 16:25:06 +08:00
帖子里面一些惊恐的用户估计平时浏览非法内容的时候用了谷歌浏览器 ? 没想到螳螂扑蝉黄雀在后吧,逃不过我们国家的法眼的
|
 |
475
pooorguy 2021-01-18 16:28:05 +08:00 via Android
@PeacePeach 当然是同谋,参考快播案-技术无罪论
|
 |
476
bluefountain 2021-01-18 16:35:54 +08:00
@jasonlz 而且只是 PC 端扫描???你们公司说话都这么搞笑吗?
|
 |
477
kernelpanic 2021-01-18 16:53:55 +08:00
|
 |
478
zlowly 2021-01-18 16:54:06 +08:00 1
如果按照腾讯的逻辑,其实所有程序都可以以保障自己软件功能防范其他恶意软件这个理由任意翻查用户机器内所有数据。至于说没上传就可以的,你能容忍别人自称不拍照不外传就来看你洗澡上厕所?
|
 |
479
Kagari 2021-01-18 16:59:02 +08:00 via Android
不要急嘛,详细说说为了安全你还读取了什么文件
|
|
481
yanqiyu 2021-01-18 17:36:55 +08:00 via Android
@lp101799 这就是可信计算方案,需要用到特殊的操作系统提供的接口,并且要求一个额外的主密码 /TPM 二选一,成本也很高
|
 |
482
engineercj 2021-01-18 17:37:51 +08:00
一帮刁民给你们免费用还不好?重新定义-免费的才是最贵的。
|
 |
483
yao978318542 2021-01-18 17:47:53 +08:00
 |
 |
485
entro 2021-01-18 17:56:59 +08:00
刚发现 YY 的游戏大厅也一样
 |
|
488
lp101799 2021-01-18 18:20:01 +08:00
@yanqiyu 现在的需求是不要让随便一个普通程序就可以获得密码,只要有一个管理员权限的进程就可以做到,不过 chrome 浏览器要考虑非管理员账户,所以要操作系统提供新的功能,直接的方法就是让文件夹可以设置单个程序的访问权限,针对性的方法就是用利用系统 api 加密时记录是谁加密的,实现只允许加密者解密
|
 |
489
superrichman 2021-01-18 18:44:33 +08:00 via iPhone
@kernelpanic #477 我们可没有扫描你的历史记录啊,这里要澄清一下,我们用的是全表扫描 🐶
|
 |
490
0TSH60F7J2rVkg8t 2021-01-18 18:52:14 +08:00 via iPhone
@xiaopang132 这个重启就好了,我也遇到相册分享没微信的情况,重启设备后,就又出来了
|
|
491
lwlizhe 2021-01-18 19:24:24 +08:00
@warlial 额,当时不清楚 V2EX 的超链接规则,所以超链接后面多了几个中文字符……主要还是不能修改……后面我新开了个,说白了,其实就是那个问题的现在第一回答,没被删
|
 |
492
ArthurSS 2021-01-18 19:26:23 +08:00
@xiaopang132 这个难道不是因为安卓 11 做了一些限制,然后各种 app 兼容处理的原因吗?
|
 |
493
CatCode 2021-01-18 19:28:45 +08:00
爆出问题的是 win 商店版,但似乎还没更新
|
 |
494
ArJun 2021-01-18 19:43:35 +08:00
见怪不怪
|
Select Language