QQ 正在尝试读取你的浏览记录

腾讯好恶心

@pepsi537 @nuevepicos @inhd macOS 请使用 MAS 下载的版本 沙盒应用没那权限 相对安全一些
个人建议删除某个叫 jietu 的附属组件 位置在 `/Applications/QQ.app/Contents/Library/LoginItems/`

警惕需要各种目录权限 或者非沙盒的企鹅应用 包括不限于
柠檬清理
看图

@mengyx 用了你提供的规则，发现 easyconnect 也在读取浏览记录，感谢
（不要吐槽我为啥用 easyconnect ）

这个帖子会不会让火绒火起来了。说不定还会引起第三次世界大战，或者火 Q 大战再现。
3Q 大战的截图我都存着呢，只是在哪个目录一下子想不起来了。

好像基于 chromium 内核的浏览器都会中招，不知 Firefox 和旧内核 edge 会不会被偷窥？

@user0 #203 啊这。。。我电脑仅存的国产软件。。。工作必须啊，咋办

已向 http://pip.tc260.org.cn/ 进行举报

这样是不是躲过一劫？

- 版本 QQ 8.9.19990 绿色版
- 启动 20 分钟，火绒剑没有检测到对浏览器 History 文件的访问
- 没有你们说的 temphis.db 文件
- 用了 @swchzq 的脚本，返回结果是 Nothing

哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈, 你们电脑上装了 QQ 的,是不是相当于在腾讯面前裸奔了一年? 每周上几次 P 站, 看什么类型的片他都知道

@swchzq
这个怎么计算的？我算了下 JD 的和 VINTAGE 的 md5 但好像对不上图中的 md5

@user0 easyconnect 在不使用的时候还会占用连接数，然后几天不重启就网络崩溃了
所以现在只敢在虚拟机里用

对了，我还想吐槽一下，貌似搜狗输入法会通过注入其它程序的方式去访问注册表 /网络。

之前使用 Nod32 开启防火墙和 HIPS，总会有莫名其妙的程序（比如 Fn 功能键的管理程序、音频驱动程序）去访问 *.pinyin.sougou.com 。
后来实在受不了，把搜狗输入法拉黑断网，之后就一点奇怪事都没了……

MS Store 的 QQ9.1.6(25368)，仅仅读取了 chrome.exe 的文件位置，操作为 QueryNameInformationFile，尚未发现读取记录。

你以为 Tim 和微信稍微好一点，其实是一路货色

使用 chrome 绿色版,所有数据不放在 appdata 下,放在其他地方,应该能防一下吧...tim 不用还不行

@dzyou2007 #212 因为程序要加载输入法模块吧...然后一些网络访问被写到输入法模块去了，很不厚道的行为

@lizy001 #213 算法综合判定你的浏览信息暂时没有价值，先摸清楚路以后再说[doge]

国产软件只配进沙盒、虚拟机

@TypeError win10 沙盒就是 windos 自带 hyper-v 虚拟机 啊

腾讯一直就这么流氓的呀，为什么大家好像都一副如梦初醒的样子？

@janssenkm 让 qq 帮你翻翻在哪个目录

所有国产软件(特别是输入法)最好都用虚拟机隔离运行即可。

看来 360 早在十年前就知道腾讯会窃取用户隐私，那个时候只关注了 360 和 QQ 二选一，还以为是 360 无缘无故挑起的事端，没想到当时的选择却是助纣为虐了

@snw 调用我那个脚本里的 detect 函数,比如

```
print(detect("://s.taobao.com/search?"))
```
可以看到结果是 true

建议，sandboxie +绿色版 QQ
PS：github 上的第三方维护的 sb 已经可以在 20H2 上正常使用了

@user0 #203 同... 刚导入了规则发现 深信服这个在读取

不是好多年都是这样了吗？当初 360 就是因为 QQ 私自扫描用户文件才推出扣扣保镖，3Q 大战才开始的，之后腾讯只是说扫描用户文件是为了查杀环境是否安全。到现在还有很多人因为 3Q 大战去骂 360，呵呵。现在有石锤了，看哪个国产安全软件还默认去防止 QQ 的这些行为？

@Hozoy #227 为什么当时 360 没给出今天帖子这样的石锤证据来，要是有今天这种证据，当时的案子腾讯没法洗的

```
tasks = {
# URL 匹配
# (23, 0x1C6389BA, 0xF2FA5666, 0xF2A2E0D3, 0xC892E7BA): b'', # ://S.TAOBAO.COM/SEARCH?
# (34, 0xB829484C, 0x520F7CC3, 0x94EC8A73, 0xD808E79): b'', # LIST.TMALL.COM/SEARCH_PRODUCT.HTM?
(30, 0xDDA1029, 0x9E67F3BB, 0xB18ACC45, 0x597CF438): b'', #
# (21, 0x2564591C, 0x5B11347B, 0x846A0F72, 0xEF704A8): b'', # SEARCH.JD.COM/SEARCH?

# 搜索关键词匹配
# group 1
# (18, 0x8C2F8C3B, 0x9CA6DB69, 0x663C9537, 0xA0B64B58): b'', # 古着
# (7, 0x966DC59E, 0x592F2331, 0x6D2BF021, 0xA1D96C3C): b'', # VINTAGE

# group 2
# (18, 0x7FACF63C, 0xBEC2FCB0, 0xBE8836F6, 0x167CC273): b'', # 融券
# (18, 0x46B6D8D7, 0x8AA82723, 0xBE19FA24, 0x670E160C): b'', # 融资

# group 3
# (18, 0xE235F85E, 0x5C924D20, 0xA61B84AC, 0x4BC792DD): b'', # 炒股
# (18, 0x79088BEC, 0xF29CC9E8, 0xBF920D9, 0x455AE9ED): b'', # 股票
}
```

不弄了，还剩一个链接可能太过于阴间反查不到。

上报时不会把 URL 上传，只会把用户属于哪一个组上传。HTTP 上报的时候参数 skey=0x800915e

初始化这些 MD5 关键词的时候把组号填了进去，上报时只有一个整数

最后顺带一提，IE 历史记录也是读的。FindFirstUrlCacheEntryW 函数找找看。

@snw 原文都是在 URL 里的，中文得按照 UTF-8 的 %XX%XX%XX%XX%XX%XX，然后转换成 UTF-16LE 再 MD5 。

转成宽字符串这一步，明显是为了和读 IE 历史记录的 API 拿到的宽字符串兼容。

请问 macOS 有这个问题吗？

@lifetimeporn 当初扣扣保镖里面有相应的侦测与拦截记录的 http://net.blogchina.com/blog/article/1026549，并且当时腾讯是承认了扫描用户文件这一行为 https://news.mydrivers.com/1/176/176768.htm

看 pcdiy，好家伙，所有浏览器的行为他都要

@aloneinfall sandboxie+绿色版 QQ 还是会扫描啊，sandboxie 只能阻止写入不能阻止读取啊

@raion 感谢大佬对上报流程的分析, 这么看 tx 还是有点"良心"的, 没直接上报 url, 只上报了分类结果🤣🤣🤣

@xjbeta 卧槽那是不是柠檬清理只能用商店版了

@ziseyinzi 阴阳怪气，够恶心的。现在最新结果是购物网站搜索关键字，不知道你有什么想说的？

@murmur 商店版也不能保证 你给了权限的目录 他不会读取有用的资料后上传

虽然我已经好几年没用 Windows 版 QQ 了，但之前还是腾讯面前裸奔了好几年，真是大 E 了

@Hozoy #232 我看了你给的两个链接，里面根本没有说到扫描用户浏览器的历史记录这种恶劣行为。

@lifetimeporn 浏览器历史记录也是以文件形式储存的吧

怎么这只马现在也这么骚了

只分析打标签也不可接受，凭什么你未经允许搜集我在其他应用里的信息？没有得到我的同意，也没有得到其他应用的同意

昨天坚持淘宝购号 Sandboxie 登 QQ，焦头烂额，今天就出这档子事。

@lifetimeporn 当初是扫描用户桌面和文档里面的 doc 文档等文件，这和浏览器历史数据不是同样重要吗，不都是属于个人隐私吗？即使现在这个事情爆出来，腾讯还可以以“这是腾讯安全组件的功能的一部分，为了保证用户安全进行的扫描行为”作为回应。毕竟 10 年前他们也是这样回应的。

@chnyuwen 说了一个猜想不一定对，不知道你在质疑啥

@Hozoy #245 你仔细看，当年腾讯没有承认自己扫描了.doc 文件，仅仅是说自己扫描了 Word.exe ，即 Word 软件的主程序的可执行文件，这和个人隐私、文档有本质区别，而今天这些证据则是真正地实锤扫描用户的隐私，而不是扫描 Chrome.exe 这个 Chrome 浏览器主程序的可执行文件。

你每天用 qq，wx 和家人，女朋友都说了些什么话 tx 都知道，你还怕 tx 知道你看了些啥网站？

@lifetimeporn http://www.6cu.com/uploads/allimg/190602/21292460X-13.jpg QQ 是遍历扫描，而不是只扫描可实行稳健，图片里面可以看到 htm 这样可读文本也进行了扫描

犯罪收益 O(n)
犯罪成本 O(1)

@Hozoy #249 嗯是的，但是你上面两个链接里面，腾讯拒不承认自己扫了这些可能涉及用户 隐私的文本文件，而只是单承认扫描了“无关紧要”的 exe 文件打幌子，我很好奇腾讯当时是怎么绕过去 shen wen 的？仅仅因为当时的律师 、法官等人是计算机 idiot 吗？还是即使不是 idiot 也能晃过去？真必胜客？

@xjbeta 找到 jietu 组件了。可是 rm 的时候提示这既不是文件也不是目录，请教下如何删除？谢谢

@dreamtrail #246 洗也洗的阴阳怪气

@BigbyWolf 没用的 Sandboxie 只屏蔽修改，不屏蔽读取，本身是为了防止恶意软件损坏文件而设计的

@BigbyWolf 没用 老哥 这玩意不会屏蔽读取，这个工具只会屏蔽写入，读取依然正常读取的

@BigbyWolf @TypeError 没用 老哥 这玩意不会屏蔽读取，这个工具只会屏蔽写入，读取依然正常读取的

不知道你们忘没忘，我可是还记得 QPCore Service 呢

这个就是监测了吧。合理怀疑你的录音也被分析了，只是分析后录音文件被销毁了[dog]

sandboxie 可以阻止访问文件、注册表，只读、只写都可以

@janssenkm 你放到哪里想不起来了，问问 qq，他应该知道，qq 可能会告诉你，你的截图被我烧了

@vmebeh 其实我想阻止所有，允许部分，但他的默认配置是阻止列表高于允许列表，那就意味着我要一个个去写阻止的目录。

@yanzhiling2001 我去，这个配置它都想要

@janssenkm #204 上次火绒揭发腾讯管家浏览推广下载，腾讯公开发文道歉了

只要不违法，怕什么被监控呢? 何况国内就不存在隐私这个说法， 大家的数据都是裸奔的，既然生活在国内就接受现实吧

Mac 的 chrome 历史记录在 /Users/xxx/Library/Application Support/Google/Chrome/Default/History，直接用 sqlite 可以读出来，不知道 qq 能不能这么干

@THP301 #265 《民法典》规定自然人享有隐私权。 隐私是指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。 上述规定意味着除法律法规另有规定或当事人同意外，有权要求其他组织或个人不得实施侵扰私人生活安宁的行为，不得窥探私密空间、私密活动、私密信息等。
http://www.xinhuanet.com/legal/2020-11/14/c_1126738496.htm

我记得 WPS 在本站也有人反映过类似的问题：/t/275450
“他还会监视窗口事件（父窗体为 chrome 浏览器），查看你浏览 X 宝市场 /X 里妈妈市场的标题栏（实在不知道它要干嘛，也许是为了分析用户行为）”

我是不用 QQ 的，建议用的，举报一下

@chenshaoju 法律不是挡箭牌

@THP301 虽然说是这样，但要放在欧盟会不会被罚死=-= url 里带一个明文传输的账号密码就玩完，当然现在也没人放明文的=-=。

@JBaker 常年 FFox &TIM 用户感到安心，thx

腾讯公关部会来删帖吗？

不懂就问，sublime text3 这也是读取我的浏览器历史吗？

@murmur 商店版本的柠檬清理也 [不一定] 安全，没记错的话打开程序时会用 NSOpenPanel 弹框让你选择 Home folder 。Catalina 及之后的文件系统有一个扩展属性叫 com.apple.macl，可以用 ls -l@ 观察到，这个扩展属性储存了一个列表，列表上的程序访问受保护文件夹时 [不会] 弹框要求用户的许可。

而 NSOpenPanel，drag and drop，用户双击文件，都会添加这个扩展属性到文件上，以防止过多的隐私保护弹窗打扰用户。

ref:

Reset access obtained through inferred user intent on Catalina: https://developer.apple.com/forums/thread/124121

Undocumented Catalina file access change: https://lapcatsoftware.com/articles/macl.html

趁人多热闹提醒下
Chrome 保存的密码都能直接读出来，甚至不用 UAC 权限
换言之随便一个软件都有权限读取，看开发者的良心
https://www.nirsoft.net/utils/chromepass.html
滑稽的是，Chrome 查看自己保存的密码还掩耳盗铃地要输入 Windows 账户密码。

@seaswalker 是的，在 Mac 上 App 还可以使用 UNIX 命令，调用个 shell 也不是难事。我看了下 ~/Library/Application\ Support/ 是没有受到系统保护的，拿一个没有 full disk access 的终端就可以测出来：

~  ls ~/Library/Application\ Support/Google
FIRApp

但是 Safari 文件夹反倒是受到保护的，毕竟是自家产品：

~  ls ~/Library/Safari
ls: Safari: Operation not permitted

还好我机智，几乎所有的国产软件我只在虚拟机里运行。

@bin456789
+1，本来就是这样，xkcd 1200
更何况 UAC （从降权管理员提升到完整管理员）其实也是可以绕的，微软都说 UAC 不是安全功能，虽然微软有时候会顺带修补封堵一部分绕过手段。

这太吓人了，原来我浏览记录一直被 QQ 监控

@bin456789 查看自己保存的密码还掩耳盗铃地要输入账户密码

Safari/edge 都是这样。输入密码的时候浏览器弹出记住密码，勾选同意后都会保存起来，用户在浏览器设置中可以输入开机密码后查看保存的密码。

随便一个软件都有权限读取 Chrome 密码这个就不清楚了。

@cnfzv Sandxie Plus 默认配置是阻止对常见应用程序数据的访问。
应用程序模板默认配置下所有浏览器(chromium 系、Firefox 及衍生、新旧 Edge 以及我都没见过的浏览器)的同步设定、偏好设定、密码、Cookie 、书签和历史记录数据都是未勾选的，WebBrower 类目中只有 Google Chrome/Firefox 的防钓鱼数据库是允许访问的。
资源访问 选项可以配置阻止对文件资源的访问。

@bin456789
不过……这也不完全是掩耳盗铃吧，本地的密码数据我记得确实是加密了，如果没有登录 windows 账户，那就是密文。

@Dashit 是的，控制面板里的的“凭据”我记得就是 IE 里保存的密码……其实只要 Windows 账户登录了，就解密了。查看明文密码时要求输入 Windows 登录密码，这个本质上是防君子不防小人的。

@acess ChromePass 直接就能看了，而 Chrome 还要输入账户密码，这不是掩耳盗铃么？

@bin456789 chromepass 也是需要先登录 windows 账户进桌面的吧。
In order to use this feature, you must know the last logged-on password used for this profile, because the passwords are encrypted with the SHA hash of the log-on password, and without that hash, the passwords cannot be decrypted.

@bin456789 只有先登录那个 Windows 账户进了桌面，chromepass 才可以直接看到这个账户下的明文密码。
如果要看其他账户的密码，或者看离线系统（比如双系统、USB 易驱线挂上其他机器硬盘里的系统）上的密码，那就需要输入其他账户的密码。

@Mavious 老哥，TIM 也读啊，看帖有人复现了

@bin456789 #276 啊这，那 firefox 的密码安全吗

@xxyk @TypeError
Sandboxie Plus 默认配置是阻止对常见应用程序数据的访问。
应用程序模板默认配置下所有浏览器(chromium 系、Firefox 及衍生、新旧 Edge 以及我都没见过的浏览器)的同步设定、偏好设定、密码、Cookie 、书签和历史记录数据都是未勾选的，WebBrower 类目中只有 Google Chrome/Firefox 的防钓鱼数据库是允许访问的。


资源访问 选项可以配置阻止对文件资源的访问，包括读取、修改。

还可以限制程序只得在 Sandboxie 中运行。

可以参考卡饭的这篇 2018 年针对原版 Sandboxie 的老帖，或者右键点击沙盒实例条目打开选项卡，选择沙盒选项(非全局选项)查看 https://bbs.kafan.cn/thread-2121301-1-1.html

---
以为我又在认知浅薄的状态下唐突发言误导别人了，还修改不了回复 /添加不了附言，老哥真给我吓心脏一停，就放后边待有缘人翻到吧。

@bin456789 你说掩耳盗铃是有一定道理的，因为实际上不需要第二次重复输入 Windows 登录密码，只要现在已经是已经登录 Windows 账户、进到桌面的状态，浏览器记住的密码就已经是可以解密到明文的状态了。

其实不用 chromepass 也能看，打开被记住密码的网站，F12 改一下密码框的 HTML 属性就行。

@acess 用 Chrome 的时候也是登录了啊。
况且，另一个软件可以轻松获取浏览器保存的密码，这本来就不合理，任何解释都是徒劳的。

@seaswalker 明显可以，参考各种 Chromium 系浏览器直接从 Chrome 迁移数据什么的

qqprotect 也是个流氓程序，不知道会扫描些什么文件。记得以前因为 protect 更新，好像也闹过一次（是因为会接管浏览器注册成企业的，有后台还是什么）

@bin456789
其实在桌面系统上，“这个软件”和“另一个软件”之间本来就没有什么明确的、不可逾越的界限吧。一直以来就是这样。
我觉得这并不完全是坏事。移动操作系统可能设计之初就考虑了这个问题，没有那么多历史包袱，但就像 Android，magisk 的开发者不也吐槽么，整个系统 highly lockdown 了，用户没有自由了，对设备没有真正的、完全的控制权。

@acess 性质不同了，一个是我自己打开 Chrome 按 F12 自己看的，起码我是知道这个操作的。
另一个是第三方软件直接读 /偷密码。安全性取决于开发者的良心。
当然第三方也可以使用骚操作，后台打开 Chome，模拟按下 F12，再读屏幕拿到密码。
不过也不能因为一部分漏洞而完全放弃治疗。

我现在在用的是 2.2.5 TIM，签名 2018 年 6 月，有大佬试试吗。。
链接: https://pan.baidu.com/s/1I8NoaWYewdjLwhf_WTCX4w 提取码: d35x

求个作业抄下 [doge]

@bin456789 不是掩耳盗铃，首先你登陆 Windows （或者在 Linux 桌面解锁密钥环）之后加密存储库的密码就被解密，存储库也就对于任意程序可读。

这些密码必然不能以某种非对称方式保存，因为你要填充用明文。在没有使用特殊的操作系统提供专门的密钥保护机制的前提下 chrome 不可能有独享的存储空间，它自己能读到的密码任意程序自然能读到。

至于查看密码需要验证凭据，这也很正常，一方面能防小白（这个验证凭据正是因为用户的呼声加上的），也要求拿走密码步骤变长，另外需要额外安全性的用户可以在此基础上配置可执行文件策略等保护密码不被拿到。

所有浏览器都跑不掉这个设计，真的要解决这个问题还是 FIDO 这样的机制...干脆放弃记住密码算了

@bin456789

Chrome 可以查看密码的问题可以看下之前的讨论。

https://www.v2ex.com/t/302006
https://www.v2ex.com/t/337364