mengyx
V2EX  ›  互联网

QQ 正在尝试读取你的浏览记录

  mengyx · Jan 14, 2021 · 126498 views
This topic created in 2010 days ago, the information mentioned may be changed or developed.

前些天用 QQ,为了防止一些流氓行为,特地去的 MS Store 里面安装的 QQ 桌面版。

幸好之前用火绒的自定义拦截功能,设置了一些重要或敏感数据目录的保护。

拦截日志如下:

Imgur

Supplement 1  ·  Jan 17, 2021
@qwqdanchun #21 对 QQ 的行为进行进行了逆向分析,实锤了 https://bbs.pediy.com/thread-265359.htm
Supplement 2  ·  Jan 17, 2021

以History为关键字,最早可以追溯到9.1.5版本(2019年6月),这么说此种行为至少已经进行一年半了:

Supplement 3  ·  Jan 18, 2021

简单总结一下:

影响范围

具体行为

  1. 登录10分钟之后,读取浏览器浏览历史
    • 读取 %LocalAppData% 目录下所有基于Chromium的浏览器历史记录;具体见@qwqdanchun #21 的分析
    • 读取IE历史(FindFirstUrlCacheEntryW),具体见 @raion #229
  2. 对读取到的url进行md5,并在本地进行比较 @swchzq #157
  3. md5匹配的情况下,上传相应分组ID(主要为电商、股票等关键词),详见@Terang #166, @raion #229

事件进展

  • 目前,QQ 9.4.2 (发布于2021/01/17 20:32)移除了相应代码,暂停了侵害行为 (thx: @weifan #368)
  • 目前,TIM 3.3.0 (发布于2021/01/17 21:39)移除了相应代码,暂停了侵害行为
592 replies    2024-06-06 08:43:40 +08:00
1  2  3  4  5  6  
jr55475f112iz2tu
    401
jr55475f112iz2tu  
   Jan 18, 2021
nb 啊,靠这个帖子让腾讯进行了更新移除相应代码
就是不知道之后会不会在哪个版本又加回来
dinjufen
    402
dinjufen  
   Jan 18, 2021   ❤️ 2
@czfy 风头过了,悄无声息的加回来😁
Nachtblut
    403
Nachtblut  
   Jan 18, 2021   ❤️ 10
有谣言说 qq 会盗取用户的浏览历史,我在这里澄清一下:这不是谣言。
tLbf2p3UC4BM3H1N
    404
tLbf2p3UC4BM3H1N  
   Jan 18, 2021
火绒添加自定义防护策略: https://www.weifanjun.com/148.html
resu
    405
resu  
   Jan 18, 2021
影响范围和事件进展,好评!
chnhyg
    406
chnhyg  
   Jan 18, 2021 via iPhone
可悲。
lwlizhe
    407
lwlizhe  
   Jan 18, 2021
知乎上原作者(如何看待 QQ 扫描读取所有浏览器的历史记录? - 簞純的回答 - 知乎
https://www.zhihu.com/question/439768601/answer/1682945527)说了可能是误会

因为这些浏览记录也就到获取这一步,并对证券和购物网站对比上传,其他 cookie 密码这种并没处理,也就是说,隐私信息是相对安全的

不知道是不是真的
lwlizhe
    408
lwlizhe  
   Jan 18, 2021   ❤️ 1
@lwlizhe
知乎上原作者说了,可能是误会

因为这些浏览记录也就到获取这一步,并对证券和购物网站对比上传,其他 cookie 密码这种并没处理,也就是说,隐私信息是相对安全的

不知道是不是真的

(如何看待 QQ 扫描读取所有浏览器的历史记录? - 簞純的回答 - 知乎
https://www.zhihu.com/question/439768601/answer/1682945527
)
jasonlz
    409
jasonlz  
   Jan 18, 2021
内网负责人已经澄清了,是因为某个 QQ 的安全问题,而且只是 PC 端扫描,并没有做保持或者上传信息。
我厂的公关真是效率低下,三天了也没个官方声明。
chwken
    410
chwken  
   Jan 18, 2021
不知腾讯浏览器对历史记录是如何利用的?
jr55475f112iz2tu
    411
jr55475f112iz2tu  
   Jan 18, 2021   ❤️ 25
@jasonlz 所以扫描用户浏览器历史 url 是合理行为?原来这就是鹅厂员工的价值观,学习了
Pazakui1259
    412
Pazakui1259  
   Jan 18, 2021
腾讯 QQ 官方账号在知乎相关问题已经发表了一个回答:
如何看待 QQ 扫描读取所有浏览器的历史记录? - 腾讯 QQ 的回答 - 知乎
https://www.zhihu.com/question/439768601/answer/1683913941
“所有相关数据不会上传至云端,不会储存,也不会用于任何其他用途。”
Dvel
    413
Dvel  
   Jan 18, 2021   ❤️ 4
@Pazakui1259 #412 收集浏览器历史记录是为了判断是否恶意登录。。。
不管你信不信,我反正信了
Fading2276
    414
Fading2276  
   Jan 18, 2021
@Semidio #385,哪有千日防贼,万一漏了什么就又不好了。

还是扔虚拟机吧,省事。
ooooo
    415
ooooo  
   Jan 18, 2021   ❤️ 2
@Pazakui1259

知乎上
官方的回复已开启 预审评论
评论由机构筛选后公开
...
monsterX
    416
monsterX  
   Jan 18, 2021 via Android   ❤️ 21
完全说不通哈。如果是为了防止恶意登录,那为什么是登陆成功十分钟后进行,而不是登录的时候进行
BDC017
    417
BDC017  
   Jan 18, 2021   ❤️ 4
@monsterX 认真你就输了。
Hozoy
    418
Hozoy  
   Jan 18, 2021
@Pazakui1259 闭口不提淘宝天猫京东那几个 URL 的作用,判断恶意登陆靠几个电商的 URL 去判断?
ideacco
    419
ideacco  
   Jan 18, 2021
试了一下,复现了!
Hconk
    420
Hconk  
   Jan 18, 2021
@monsterX 这种回复给不懂技术的人还能忽悠下,要是做开发的技术人员能信我都怀疑水平有没有问题了。
devwolf
    421
devwolf  
   Jan 18, 2021
翻到了一篇热乎的安全 419 洗文,"QQ 偷看浏览器记录?别被带节奏啦"
链接是 https://baijiahao.baidu.com/s?id=1689198822854768100&wfr=spider&for=pc
然后发现#412 提到的腾讯 QQ 在知乎上的官方回答,1 小时前,也是热乎的
yanqiyu
    422
yanqiyu  
   Jan 18, 2021 via Android
@bin456789 对于新浏览器无效大概只是没人愿意做,因为如果没有浏览器源代码的话开发密码查看器需要逆向浏览器(但是不会有密码学级别的障碍)
ideacco
    423
ideacco  
   Jan 18, 2021   ❤️ 1
我觉得这个事儿,TX 应该不会回应,因为回应了也是没啥用,反而造成越抹越黑(本来就黑)的感觉。另外最好的处理方式是让话题消失,比如让这个帖子消失……,甚至是让 V2 消失……,兄弟们,且行且珍惜吧
jr55475f112iz2tu
    424
jr55475f112iz2tu  
   Jan 18, 2021   ❤️ 1
@ideacco 有毛病是不是?腾讯已经通过 QQ 官方账号在知乎发了一个可笑的回应了
yanqiyu
    425
yanqiyu  
   Jan 18, 2021 via Android
@bin456789 接上,拿着一个 token 去 Google 服务器拿密码的设计,一方面需要时刻联网,另一方面这个 token 也不可能受到密码学级别的保护,然后依然可以被恶意程序拿走,总体上,你要么使用主密码保护,要么用上奇妙的可信计算途径,否则保护都会是掩耳盗铃,只是掩耳的力度不一样
ignor
    426
ignor  
   Jan 18, 2021 via Android
京东,淘宝,炒股,融券,你跟我说安全问题?
yanqiyu
    427
yanqiyu  
   Jan 18, 2021 via Android
@czfy 腾讯那个回应就扯...为什么恶意登录在登陆后 10 分钟检查,为什么恶意登录检查指标是电商搜索...
ideacco
    428
ideacco  
   Jan 18, 2021
@czfy 没毛病啊,看看最后咋解决
S179276SP
    429
S179276SP  
   Jan 18, 2021 via Android
@lwlizhe 扫描浏览器这种行为本就不应该存在,估计腾讯做的只是个测试品,被网友扒出来了,想想都后怕,必须把这种行为扼杀在摇篮之中。
AlisaDestiny
    430
AlisaDestiny  
   Jan 18, 2021   ❤️ 4
@jasonlz 在屋子主人不知情的情况下私自进入屋子里翻翻有没有感兴趣的东西然后记下门牌号,你还觉得你们做的挺有理?
aaaaaaaaa
    431
aaaaaaaaa  
   Jan 18, 2021
楼主 append 一下 64 楼的回复吧
hui314
    432
hui314  
   Jan 18, 2021
10 年前就有认分析过这个
http://www.ipc.me/qq-invasion-of-privacy.html
devwolf
    433
devwolf  
   Jan 18, 2021   ❤️ 1
@aaaaaaaaa 6 啊,你这一提醒,我就发现了 64 楼提到的第 5 条
“5. 声称是为了某功能(比如恶意网址识别?)而收集的,一切数据只保留在本地”
对应
“发现 PC QQ 存在读取浏览器历史用以判断用户登录安全风险的情况,读取的数据用于在 PC QQ 的本地客户端中判断是否恶意登录。所有相关数据不会上传至云端,不会储存,也不会用于任何其他用途。”。

然后
“3. 声称是测试代码,误操作编译到了正式版中”
“具体情况为,该操作为历史上线的一个对抗恶意登录的技术解决方案:因系统识别有不少伪造的 QQ 客户端会恶意访问多个网站作为前期辅助工作,因此在 PC QQ 客户端中加入了检测恶意和异常的访问逻辑,以此作为辅助手段去判断恶意客户端。”
lackar
    434
lackar  
   Jan 18, 2021
这不是犯罪吗
irainsoft
    435
irainsoft  
   Jan 18, 2021
名声只会被自己败坏
jasonlz
    436
jasonlz  
   Jan 18, 2021   ❤️ 1
@czfy 你这冷嘲热讽又是什么价值观,对不对自由公理,我一没说这是对的,只是把我知道的实际情况说出来,就给你贴上标签,所以腾讯员工是原罪?
aceralon
    437
aceralon  
   Jan 18, 2021
@Biggoldfish
是禁止访问读取了,试了下 magician 和 nVidia 被拒绝了,直接扫不到硬盘和检测硬盘游戏了
jasonlz
    438
jasonlz  
   Jan 18, 2021
@AlisaDestiny 我这个回答哪里写了我有理,我只是一个旁观者,内网对这个事情的批评程度不比外网低,我只是说出一些我知道的信息,你有什么资格给我贴标签呢?
venhow
    439
venhow  
   Jan 18, 2021
咳咳,意料之中,情理之内。。。
devwolf
    440
devwolf  
   Jan 18, 2021
@jasonlz 感谢消息提供,原来鹅厂内网在热议中,话说走漏风声没事吗
liutuo
    441
liutuo  
   Jan 18, 2021
@aloxaf 兄弟你第五条猜对了,tx 为了对抗恶意登录
Hozoy
    442
Hozoy  
   Jan 18, 2021   ❤️ 5
360 安全卫士今天凌晨 0:39:34 紧急更新,最新版本已经已经默认支持拦截 QQ 的这个行为 https://p0.ssl.qhmsg.com/dr/570__100/t019157e76343e2338f.png
grittiness
    443
grittiness  
   Jan 18, 2021
@jasonlz 我猜是你回复中用的”澄清“这个词,让人看起来就不太像站在旁观者的角度。把“澄清”换成“解释”或者会更没有立场
murmur
    444
murmur  
   Jan 18, 2021   ❤️ 4
@jasonlz 你厂敢开评论是不是会被冲烂
micean
    445
micean  
   Jan 18, 2021
很多年前启动 QQ 就能让破机械硬盘嘎吱嘎吱很久了,你们为什么这么意外……
原则上除了工作所需的软件,能用 web 就只用 web
6388xE5FRKTNUT9x
    446
6388xE5FRKTNUT9x  
   Jan 18, 2021
@Victrid 哇,NB 。就算是反串,先 block 再说了。。
no1xsyzy
    447
no1xsyzy  
   Jan 18, 2021   ❤️ 3
@jasonlz 建议你重新看下你 #409 的发言是什么感情色彩,或者重新学习中文,因为中文博大精深
—— 哦,你该不会觉得博大精深是说它好吧
你若能理解到博大精深是个褒词贬用,你就应该知道中文语言腐坏问题;
如你误认为博大精深是说中文好,那你也就直接体会了一下语言腐坏的直接影响。
当然,如果你不能理解,我也可勉为其难教教你。
LuoDiNate
    448
LuoDiNate  
   Jan 18, 2021
腾讯还是赖啊, 没有相关法律, 程序员和 PM 也毫无底线啊
MrStark
    449
MrStark  
   Jan 18, 2021
@jasonlz #409

鹅厂的效率真低,三天了,还没去自首。[狗头]
jasonlz
    450
jasonlz  
   Jan 18, 2021
@no1xsyzy 如果我不是腾讯员工,你还会这么冷嘲热讽吗?你扪心自问自己,我发的
内网负责人已经澄清了,是因为某个 QQ 的安全问题,而且只是 PC 端扫描,并没有做保持或者上传信息。
我厂的公关真是效率低下,三天了也没个官方声明。
有什么问题吗?你说这么多,都是恶意的评论,有就事论事吗?
murmur
    451
murmur  
   Jan 18, 2021   ❤️ 2
@yanqiyu 大概腾讯的逻辑是你会在淘宝搜索“qq 破解”这些东西,然后你就是罪犯,10 分钟扫描是怕本来 qq 就够卡了,上来扫盘直接崩,反正必胜客腾讯说啥就是啥

不足为奇,以前腾讯外服的游戏还拿过梯子数据呢,解释都比这个靠谱
xiaopang132
    452
xiaopang132  
   Jan 18, 2021
给我整笑了,qq 和微信最近在 ios 上更新了一波:
原来不给照片权限还能通过系统照片里的分享功能发送图片,现在分享界面已经找不到 qq 和微信了.不给权限就别发图了
ly841000
    453
ly841000  
   Jan 18, 2021
@jasonlz 废话, 不是 pc, 难道安卓和 ios 你有权限扫描?
解释查找这几个关键字有什么?

23, 0x1C6389BA, 0xF2FA5666, 0xF2A2E0D3, 0xC892E7BA
://S.TAOBAO.COM/SEARCH?

34, 0xB829484C, 0x520F7CC3, 0x94EC8A73, 0xD808E79
LIST.TMALL.COM/SEARCH_PRODUCT.HTM?

30, 0xDDA1029, 0x9E67F3BB, 0xB18ACC45, 0x597CF438
(未知)

21, 0x2564591C, 0x5B11347B, 0x846A0F72, 0xEF704A8
SEARCH.JD.COM/SEARCH?
derekwei
    454
derekwei  
   Jan 18, 2021
不管怎么解释,从用户角度看:不仅辣鸡,还涉嫌违法违规!
jr55475f112iz2tu
    455
jr55475f112iz2tu  
   Jan 18, 2021   ❤️ 3
@jasonlz 本来确实是自有公理的;然而看着 QQ 在知乎的官方回应那和粉丝控评类似的评论区,就没什么公理可言了,毕竟腾讯财大气粗,和法院也很熟
h82258652
    456
h82258652  
   Jan 18, 2021
不废话了,直接扔虚拟机,今天可以扫你浏览器记录,明天都不知道会不会干什么更加恶心的事情
worryfree
    457
worryfree  
   Jan 18, 2021   ❤️ 2
阔怕 知乎上回答觉得自己不知道一样 大厂的嘴脸
tomcats
    458
tomcats  
   Jan 18, 2021
@jasonlz 关注点并不是上传的问题,而是扫描了用户历史浏览记录
Elisa0526
    459
Elisa0526  
   Jan 18, 2021
不会有人相信 qq 的官方回应吧笑死
tomcats
    460
tomcats  
   Jan 18, 2021
这波火绒火了,裸奔的我也下了个火绒
devrockin
    461
devrockin  
   Jan 18, 2021
这事不简单。后面的链条到底有多长恐怕暂时也无法得知。
fz420
    462
fz420  
   Jan 18, 2021   ❤️ 10
"我每天去你家里转转翻翻,也不带走任何东西!就是每天你家里转转翻翻"。QQ 这波操作 666 啊
C0VN
    463
C0VN  
   Jan 18, 2021
感觉是遍历一个路径,连什么 pip 文件夹都不放过,Default\History 路径瞎读。还有超多的注册表读取,硬盘除了用户的 AppData 里到处乱读,桌面,其他盘的都有。

![pip.png]( https://i.loli.net/2021/01/18/X3eRIEfp2nqzFjQ.png)

tim 版本:TIM3.3.0(21970)
luxiaotian007
    464
luxiaotian007  
   Jan 18, 2021 via Android
装个火绒吧。要不裤衩被扒下来,自己都不知道。
Williams2008
    465
Williams2008  
   Jan 18, 2021
@fz420 这个比喻让我想起几年前 QQ 浏览器对于调用前置摄像头的官方回复,果然流氓公司还是不忘初心啊

[![s6GdFf.png]( https://s3.ax1x.com/2021/01/18/s6GdFf.png)]( https://imgchr.com/i/s6GdFf)
alphadog619
    466
alphadog619  
   Jan 18, 2021   ❤️ 1
老大哥每天不用钥匙就进你家,看一看,翻一番,做个记录,有一天把小本本打开放在你面前。
woshipanghu
    467
woshipanghu  
   Jan 18, 2021   ❤️ 3
@jasonlz
我怀疑你是其他大厂的 来给鹅厂拉仇恨
说的轻描淡写的只读没上传,读这么敏感的信息干嘛
是不是程序员太闲了 就喜欢多写几行代码吗?
你这还能无脑给公司洗 可能这就是鹅厂的价值观吧
用户的隐私就是个屁
lp101799
    468
lp101799  
   Jan 18, 2021
@yanqiyu 可以用管理员权限或另外一个账户来存放密码和运行解密程序,普通账户不能读取,解密程序用数字签名来验证 chrome
这样至少没有管理员权限的程序不能获得密码
lp101799
    469
lp101799  
   Jan 18, 2021
@yanqiyu 操作系统也应该添加根据签名给权限的功能
Umenezumi
    470
Umenezumi  
   Jan 18, 2021
@jasonlz 您好,鹅厂的员工,您认为,贵公司的 QQ 扫描用户浏览记录是正常行为吗?
tamer
    471
tamer  
   Jan 18, 2021   ❤️ 3
一帮刁民
免费给你们下载,免费给你们用
朕看看浏览记录都不行.?
THP301
    472
THP301  
   Jan 18, 2021
身正不怕影子歪
chengs
    473
chengs  
   Jan 18, 2021 via iPhone
@ifxo 可笑。你装了个虚空 b
THP301
    474
THP301  
   Jan 18, 2021
帖子里面一些惊恐的用户估计平时浏览非法内容的时候用了谷歌浏览器 ? 没想到螳螂扑蝉黄雀在后吧,逃不过我们国家的法眼的
pooorguy
    475
pooorguy  
   Jan 18, 2021 via Android
@PeacePeach 当然是同谋,参考快播案-技术无罪论
bluefountain
    476
bluefountain  
   Jan 18, 2021
@jasonlz 而且只是 PC 端扫描???你们公司说话都这么搞笑吗?
kernelpanic
    477
kernelpanic  
   Jan 18, 2021
@Umenezumi
@bluefountain
用词不准确, 都 select url from urls 了, 还能叫扫描? 明明是读取!
zlowly
    478
zlowly  
   Jan 18, 2021   ❤️ 1
如果按照腾讯的逻辑,其实所有程序都可以以保障自己软件功能防范其他恶意软件这个理由任意翻查用户机器内所有数据。至于说没上传就可以的,你能容忍别人自称不拍照不外传就来看你洗澡上厕所?
Kagari
    479
Kagari  
   Jan 18, 2021 via Android
不要急嘛,详细说说为了安全你还读取了什么文件
ixiaofeng
    480
ixiaofeng  
   Jan 18, 2021
@chinvo #50 耗子,你又调皮了
yanqiyu
    481
yanqiyu  
   Jan 18, 2021 via Android
@lp101799 这就是可信计算方案,需要用到特殊的操作系统提供的接口,并且要求一个额外的主密码 /TPM 二选一,成本也很高
engineercj
    482
engineercj  
   Jan 18, 2021
一帮刁民给你们免费用还不好?重新定义-免费的才是最贵的。
yao978318542
    483
yao978318542  
   Jan 18, 2021
fz420
    484
fz420  
   Jan 18, 2021
@jasonlz #450 “我每天去你家里转转翻翻,也不带走任何东西!就是每天你家里转转翻翻"。QQ 这波操作 666 啊
entro
    485
entro  
   Jan 18, 2021
刚发现 YY 的游戏大厅也一样
![Or5TfIRQxUdhv3c.png]( https://i.loli.net/2021/01/18/Or5TfIRQxUdhv3c.png)
warlial
    486
warlial  
   Jan 18, 2021
@lwlizhe =-= 所以编乎上的贴子已经没有了
crack0
    487
crack0  
   Jan 18, 2021
@jasonlz 原来腾讯的员工认为随便看用户浏览记录是没问题的,只要不上传就行!怪不得腾讯能干出这种事呢,一群流氓
lp101799
    488
lp101799  
   Jan 18, 2021
@yanqiyu 现在的需求是不要让随便一个普通程序就可以获得密码,只要有一个管理员权限的进程就可以做到,不过 chrome 浏览器要考虑非管理员账户,所以要操作系统提供新的功能,直接的方法就是让文件夹可以设置单个程序的访问权限,针对性的方法就是用利用系统 api 加密时记录是谁加密的,实现只允许加密者解密
superrichman
    489
superrichman  
   Jan 18, 2021 via iPhone
@kernelpanic #477 我们可没有扫描你的历史记录啊,这里要澄清一下,我们用的是全表扫描 🐶
0TSH60F7J2rVkg8t
    490
0TSH60F7J2rVkg8t  
   Jan 18, 2021 via iPhone
@xiaopang132 这个重启就好了,我也遇到相册分享没微信的情况,重启设备后,就又出来了
lwlizhe
    491
lwlizhe  
   Jan 18, 2021
@warlial 额,当时不清楚 V2EX 的超链接规则,所以超链接后面多了几个中文字符……主要还是不能修改……后面我新开了个,说白了,其实就是那个问题的现在第一回答,没被删
ArthurSS
    492
ArthurSS  
   Jan 18, 2021
@xiaopang132 这个难道不是因为安卓 11 做了一些限制,然后各种 app 兼容处理的原因吗?
CatCode
    493
CatCode  
   Jan 18, 2021
爆出问题的是 win 商店版,但似乎还没更新
ArJun
    494
ArJun  
   Jan 18, 2021
见怪不怪
dddxm
    495
dddxm  
   Jan 18, 2021 via iPhone
@CatCode 犯什么傻呢
Overfill3641
    496
Overfill3641  
   Jan 18, 2021
@lp101799 这个需要微软配合才行,但问题是,现在是个安装程序都要管理权限,感觉也防不住....
lp101799
    497
lp101799  
   Jan 18, 2021
@v2tudnew 现状是不需要管理员权限就能解密,而有管理员权限了什么事做不了啊,可以直接读取内存
Overfill3641
    498
Overfill3641  
   Jan 18, 2021
@lp101799 所以也没用啊,除非安装程序不用管理权限,可以普通权限运行。
bin456789
    500
bin456789  
   Jan 18, 2021
@yanqiyu 没有绝对的安全,连封闭的 ios 都能找到越狱漏洞,默认情况下,安装 Chrome 会用到管理员,也添加了服务负责升级,服务是有管理员权限的。起码 Chrome 防个非管理员的恶意软件还是可以的,偏偏谷歌选择了差不多最不安全的路线。
1  2  3  4  5  6  
About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   2841 Online   Highest 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 211ms · UTC 01:41 · PVG 09:41 · LAX 18:41 · JFK 21:41
♥ Do have faith in what you're doing.