这是一个创建于 1190 天前的主题,其中的信息可能已经有所发展或是发生改变。
前些天用 QQ,为了防止一些流氓行为,特地去的 MS Store 里面安装的 QQ 桌面版。
幸好之前用火绒的自定义拦截功能,设置了一些重要或敏感数据目录的保护。
拦截日志如下:
第 1 条附言 · 2021-01-17 00:57:25 +08:00
@qwqdanchun #21 对 QQ 的行为进行进行了逆向分析,实锤了 https://bbs.pediy.com/thread-265359.htm
第 2 条附言 · 2021-01-17 12:50:59 +08:00
以History为关键字,最早可以追溯到9.1.5版本(2019年6月),这么说此种行为至少已经进行一年半了:
-
AppUtil.dll (有腾讯的数字签名)
- SHA256: C9FD14D538AAEFBC0624F3E50BF582C4306D7674F70518070B3D1179BFD596D7
- QQ 9.1.5 下载来源
第 3 条附言 · 2021-01-18 11:31:03 +08:00
简单总结一下:
影响范围
- QQ Windows 9.0.4 (发布于2018/06/15)之后的版本 (thx: @ddsfeng #315)
- TIM Windows 3.1.0 (发布于2020/07/29)之后的版本
具体行为
-
登录10分钟之后,读取浏览器浏览历史
- 读取
%LocalAppData%目录下所有基于Chromium的浏览器历史记录;具体见@qwqdanchun #21 的分析 - 读取IE历史(FindFirstUrlCacheEntryW),具体见 @raion #229
- 读取
- 对读取到的url进行md5,并在本地进行比较 @swchzq #157
-
md5匹配的情况下,上传相应分组ID(主要为电商、股票等关键词),详见@Terang #166, @raion #229
- 第三个字符串应为
uland.taobao.com/sem/tbsearch?(来自知乎用户Harrion)
- 第三个字符串应为
事件进展
- 目前,QQ 9.4.2 (发布于2021/01/17 20:32)移除了相应代码,暂停了侵害行为 (thx: @weifan #368)
- 目前,TIM 3.3.0 (发布于2021/01/17 21:39)移除了相应代码,暂停了侵害行为
 |
501
no1xsyzy 2021-01-18 21:37:28 +08:00
@jasonlz 会,你要认得我这个名字,就知道,我冷嘲热讽跟你是谁没关系,只跟你说的话、或者曾经说过的话有多可笑有关系。
既然你自己是搞不懂,或者不想去搞懂了,让我来翻弄下你的无知: 1. 建议学习一下 “澄清” 这个词包含怎样的感情色彩。同样是“使事实真相暴露”,“解释”、“澄清”、“辩解”分别具有怎样的感情色彩?好一个“澄清”,好一个“平定祸乱,恢复秩序”。 2. “安全问题”,解释得可真清晰啊!那可真谢谢了! 怀着恶意的人只能看到恶意的评论,所谓 “仁者见仁,智者见智”…… 你就是自爆卡车? 我不就事论事,我刚才在隔壁主题里是在指出一个自称就事论事的其实并不在就事论事。 |
 |
502
delpo 2021-01-18 21:44:29 +08:00
我有一个问题,既然 2019 年就有这个功能了,为什么这么长一段时间内火绒用户没有发现这个问题?
|
 |
503
neqhqrim 2021-01-18 22:03:53 +08:00
@delpo #502 10 多年前就爆出过 QQ 偷鸡摸狗,风声过后不一样照旧。3Q 大战都是后来的事了,结果大家都知道。南山必胜客不是吹出来的,普通网民又能拿它怎样。
|
 |
506
iNaru 2021-01-18 23:48:19 +08:00
@tendny 据说由于加载驱动必须要证数签名,而证数很贵,项目维护者在网上找了一个泄漏的证数,但这些证数一般也被恶意软件使用,所以会误报。
|
 |
508
stockmaster 2021-01-19 03:16:19 +08:00
sandboxie 试了一下,感觉还是有点麻烦。我感觉是不是可以新建一个本地“sandbox”用户,然后以该用户启动 Chrome ( Shift+鼠标右键可以做到,也可以建立快捷方式每次都以 sandbox 用户运行),这样其他应用程序只要没有管理员权限,应该无法直接访问到你的浏览历史了吧?
|
 |
509
kingwang 2021-01-19 07:27:47 +08:00  4
这个事吧,我觉得是我党要求或默许的。毕竟我党对年轻一代那可是相当贴心了。要掌握小朋友们的动向
|
 |
510
jasonlz 2021-01-19 09:46:39 +08:00
@no1xsyzy 首先,我个人对这个行为是持反对态度的,我只是把内网负责人说的话简单重复发在这里,我不知道为啥一堆人对我攻击。
我的发言不代表个人观点,只是转述,所以我反击那些对我个人攻击的人有何问题? 你说这么多,能撇开对我个人的攻击? |
|
511
jasonlz 2021-01-19 09:48:02 +08:00
@ly841000 别对我个人开枪,我只是转述,我虽然是腾讯的人,但是也看不到代码,也持负面观点,内网上对这个东西也是骂声一片。
|
|
512
jasonlz 2021-01-19 09:49:31 +08:00
@AlisaDestiny 我的发言哪里让你觉得谁有理,你认真看,我是陈述内网负责人的发言,我个人是持负面观点的,为啥我一个转述带来这么多负面个人攻击?鹅厂人自带 debuf ?
|
|
513
jasonlz 2021-01-19 09:56:52 +08:00
|
 |
514
Detao 2021-01-19 10:01:09 +08:00 3
内网澄清了! 大多人反对! 官方也回应了! hotfix 也放了! 你们还要怎么样!
说到底我觉得大部分人想知道的是为啥会有这样的代码, 就算信了所谓的为了安全的原因, 私自扫描用户的盘就能被允许了? 某些公司为了实现自己的逻辑就可以这么干了? 事后被发现了找个理由删了相关实现就能被接受原谅了? 难道真正重要的不是怎么预防产生这样的代码, 追究责任吗? 反正不会正面回应这样的问题呗. |
 |
515
DF5206A 2021-01-19 10:06:07 +08:00
我表示我的 QQ 9.4.2 仍有此行为
|
|
516
jasonlz 2021-01-19 10:14:26 +08:00
@no1xsyzy 第一在网上被人各种 diss,有些语言可能失态了,虽然你个人攻击意味明显,但是我相信大部分也是因为对这件事情的愤慨。这个帖子我不再回复,有冒犯的地方说声抱歉,以后还是谨言慎行,希望你以后也少一些类似别人语文要你来教这种很攻击人的评论。
|
|
517
no1xsyzy 2021-01-19 10:15:46 +08:00
@jasonlz 那你可以不用 “澄清” 这个词
我认认真真地建议你学习中文,这并不是在人身攻击,而是真心诚意地提供建议。就现状来看,你使用中文的过程中引发了其他人的普遍误解,就此,客观上你中文的水平仍然有待提高。 不妨说,因为你带着有色眼镜看,所以看着都觉得是人身攻击。 是什么让你有了技术论坛不应该喷的错觉?你是不是忘了两百年前牛顿和莱布尼茨互喷了?是不是忘了两千年前墨子和鲁班互怼? 技术升级的本质就是互喷。只不过把这事儿从技术方面 “平移” 到伦理方面,你有什么不满,不如不上技术论坛。 |
 |
519
fx 2021-01-19 10:35:07 +08:00
fuck qq
|
|
520
no1xsyzy 2021-01-19 10:36:45 +08:00 1
|
 |
522
zetaoyang 2021-01-19 10:39:50 +08:00
实际上,百度网盘也会访问 %LOCALAPPDATA% 这个目录,如果没权限访问的话,它登录界面的左侧二维码就刷不出来。
|
 |
524
stopWorking 2021-01-19 11:17:16 +08:00
等国产操作系统全面推广就不用担心这些事了
|
 |
525
echoe 2021-01-19 11:22:17 +08:00
@stopWorking #524
是哦 到时候银行卡密码都上交国家了 |
 |
526
ooooo 2021-01-19 11:44:44 +08:00
|
 |
527
wty 2021-01-19 11:45:58 +08:00 14
|
|
528
stockmaster 2021-01-19 11:55:40 +08:00
@wty
在 QQ 里尝试了一下打开本贴,竟然是真的。。已经不知道该说什么了。 |
|
530
ooooo 2021-01-19 12:02:51 +08:00 5
@smallX
一个经验老道技术高超的小偷 溜进你家后 暗中观察了 10 分钟 发现安全了后 开始翻来翻老半天 最后把有用的东西整理打包到自己的包裹也就是 temphis.db 库里 最后小偷说他走的时候没带自己打包好的包裹 你们信吗 ? 反正我是按照 QQ 官方在知乎上的声明信的 不信你们看那个声明下面的评论都是厂商审核后的好评 |
 |
531
dingyx99 2021-01-19 12:16:36 +08:00 6
QQ 现在已经把 v2 列为“危险网站”了
 |
 |
532
lpts007 2021-01-19 12:38:47 +08:00 via Android
|
 |
534
invalid522 2021-01-19 13:02:59 +08:00
|
 |
535
Shura 2021-01-19 13:03:54 +08:00
qq 已将此帖单独拉进黑名单了。
|
 |
536
irainsoft 2021-01-19 13:06:49 +08:00
哈哈笑出声,只有这个贴的链接被拉黑了,真是心黑心眼也小
|
|
537
stockmaster 2021-01-19 13:17:49 +08:00
@invalid522 看雪的贴也被 QQ 封了
|
 |
538
Williams2008 2021-01-19 13:27:45 +08:00
腾讯流氓,不忘初心
|
 |
540
akiyamaakira 2021-01-19 13:40:32 +08:00
狗日的腾讯,不忘初心
|
 |
541
ideacco 2021-01-19 13:41:02 +08:00
昨天说这个帖子可能会消失。。。。今天这个帖子真的在 TX 系里面“消失”了……你大爷
|
 |
543
disagree 2021-01-19 13:56:48 +08:00
好家伙,本帖单独被列为危险网站
|
 |
544
kimcool 2021-01-19 14:04:13 +08:00
前来缅怀下这个帖子····
|
 |
545
ymz 2021-01-19 14:08:29 +08:00
缅怀
|
 |
546
Itanium 2021-01-19 14:08:43 +08:00
mac 的应该不能读吧
|
 |
547
Moses 2021-01-19 14:09:20 +08:00 3
Chrome 已有人提交相关 bug #1167567: https://bugs.chromium.org/p/chromium/issues/detail?id=1167567
|
 |
548
fhsan 2021-01-19 14:10:48 +08:00
好家伙,xProtect 防病毒
|
 |
549
lagoon 2021-01-19 14:13:59 +08:00
自首吧。坦白从宽。
|
 |
550
HeyWeGo 2021-01-19 14:14:39 +08:00 1
这就践行了一句话:解决不了问题,就解决提出问题的"X"
|
 |
551
spadger 2021-01-19 14:28:42 +08:00
缅怀下这个帖子
|
|
552
stopWorking 2021-01-19 14:31:14 +08:00
@echoe 是的,因为担心已经没有意义了,这些事也不用腾讯动手。
|
 |
553
overthemoon 2021-01-19 14:33:05 +08:00
刘明
|
 |
555
EvilDevilJin 2021-01-19 14:44:34 +08:00
哈哈哈 ,本帖已被列为危险网站
|
 |
556
treblex 2021-01-19 14:46:00 +08:00
https://tva1.sinaimg.cn/large/008eGmZEgy1gmt0228kyzj30o60hsgoa.jpg
https://tva1.sinaimg.cn/large/008eGmZEgy1gmt04jv3e4j30u00n7go9.jpg 看了个贴,说是验证环境为了登录安全做的,没有上传数据,有没有人抓包试试 |
 |
557
laydown 2021-01-19 14:48:19 +08:00 4
😄,还是那个我熟悉的“狗日的腾讯”能干得出来的行为。
|
 |
558
kernelpanic 2021-01-19 15:14:38 +08:00
之前在路由器上抓包,看到了这个 URL: http://wup.imtt.qq.com:8080/
然后就看到了这篇文章 https://citizenlab.ca/2016/03/privacy-security-issues-qq-browser/ 之后那个手机 wifi 和移动网络再也没打开过 |
|
559
invalid522 2021-01-19 15:19:44 +08:00
已将数小时前的最新进展添加到维基条目“腾讯相关争议”,但部分内容目前还没有可信资料佐证。本人还会继续关注进展
|
 |
560
wumou 2021-01-19 15:30:36 +08:00
@jasonlz 例句:因为他认为自己是无辜的,所以在法庭上他努力的澄清自己。
你用错了澄清这个词所以被嘲讽,可不是因为你是 tx 员工。 |
 |
561
LongBitcoin 2021-01-19 15:33:40 +08:00
当年 360 说“狗日的腾讯”太对了
|
 |
562
spritewdx 2021-01-19 15:46:57 +08:00
|
 |
564
yulgang 2021-01-19 16:07:26 +08:00
|
 |
565
yayoi 2021-01-19 17:27:45 +08:00 via Android
tx 的解释本身就有问题,一是只是检查恶意登录没必要专门提取打包,二是按他的说法他本来就是收集了用户信息才能知道恶意登录经常访问的 url,说明在这个读取方式之前,tx 就有收集过用户访问的 url
|
 |
566
namurin 2021-01-19 17:29:04 +08:00 via iPhone
十年前从腾讯离职时被问「为什么?外面很多人争着要进来的」,回说不喜欢腾讯一些作风,对方回「我觉得你可能还没融入腾讯的文化」…
|
 |
567
AmrtaShiva 2021-01-19 17:35:29 +08:00 via iPhone
@namurin 和工走得近的企业 那文化...简直没法说
|
 |
568
winglight2016 2021-01-19 17:46:13 +08:00
哈哈,这帖子我看了一点也不意外,麻花疼当初说我们绝不在服务器保留用户聊天信息,这公司和创始人是一个尿性。。。
|
|
569
jasonlz 2021-01-19 19:08:03 +08:00
@wumou 有个人澄清自己,我转述那个人澄清自己说 xxx,然后你说我有问题?从我角度看就是大家都在喷一个东西,你竟然保持中立态度,你有问题。你还跟他有关系,你有罪。是不是客观你自己跳出来换个问题套进去你就知道了。我觉得也很正常,人都是带着主观感情色彩是去评价人评价事情的。只是第一次在网络被各种陌生人 diss,一时气不过。
|
 |
570
chainsR 2021-01-19 20:24:15 +08:00 via Android
本帖被列为危险名单,离谱,哈哈哈
|
 |
571
noidea 2021-01-19 21:32:56 +08:00
智障,拜託 QQ 吧。
|
 |
572
chinadyj 2021-01-19 21:59:08 +08:00
今天看到这个新闻,才发现我的火绒自定义防护很久以前就创建了自动禁止 QQ 读取浏览器记录的规则,相信不少人之前也发现 QQ 这个问题了。3Q 大战之后对国内软件这种行为都是见惯不怪了,想不到这次又爆发
|
 |
573
rallos8zek 2021-01-20 00:04:45 +08:00 via iPhone
企鹅真是老流氓了
|
 |
574
devwolf 2021-01-20 08:53:07 +08:00 1
@jasonlz 自认旁观者视角我的看法:阁下在“澄清”那楼自爆了鹅肠身份后,注定要上魔女审判的。
无论什么地方,肯定会看见无脑喷的吧,程序员也是人,人就会情绪化,v2ex 里水深火热节点的功能就收容了大部分这类帖子。 至于后来和你展开“偏题”辩论的 no1xsyzy 丘比头,是个战神(中性词),除非你能确保自己完美发言。 |
 |
575
w950888 2021-01-20 09:10:38 +08:00
O(∩_∩)O 哈哈~小企鹅能有什么坏心思呢?
[]( https://imgchr.com/i/sRNRVe) |
 |
576
xiaopang132 2021-01-20 10:26:26 +08:00 via iPhone
@ArthurSS 是 iOS 哦
|
|
578
Williams2008 2021-01-20 12:14:07 +08:00
@w950888 这都能洗我也是服的,在疼讯官方控评区见过同款回答
刚刚翻了一下知乎的问题,不仅热度被强行压下来了,还让疼讯原先不知道被人踩到哪里去的敷衍答案排到了第二位,果然钞能力可以让 everything is under control https://s3.ax1x.com/2021/01/20/sRXySe.png |
 |
579
golden0125 2021-01-20 12:54:34 +08:00
搜狗输入法也在偷偷看浏览器记录 ,刚被我抓到
|
 |
580
weifan 2021-01-20 14:22:22 +08:00
|
|
581
weifan 2021-01-20 14:41:58 +08:00
|
 |
583
greatglory 2021-01-20 17:25:39 +08:00
@ziseyinzi 真要是“别的组织”反而没事,不正经的多了去了,因为这个上报了就“天下无贼”了?这说明要么不报,要么报了也没人管或者抓大放小。而自己留下搞“用户画像”才是最烦人
|
 |
584
Nazar1te 2021-01-27 21:29:43 +08:00
然而“热更新”后这几天还在读
|
 |
585
duebasser 2021-01-31 20:42:11 +08:00
。。所以有没有啥安全的 qq 版本,他老是开启 q 盾,不让开就直接不运行 QQ
|
 |
586
AndyLanders 2021-02-02 15:15:01 +08:00
@duebasser 最原始的办法就是扔到沙盒里面单独运行,让他没数据可读。。。但是楼上好像有人已经写了自定义规则的教程,你可以参考一下。
|
 |
587
wowbaby 2021-02-05 09:30:51 +08:00
|
 |
589
c88155745 2021-02-15 16:20:56 +08:00
有一说一 我党和各大互联网公司都是狗改不了吃屎
|
 |
590
missingi1karos 12 天前
我不止 qqtim 会读取,为什么微软壁纸也会读
触犯规则:阻止程序读写浏览器历史记录 操作类型: [读取] 操作文件:C:\Users\**\AppData\Local\Microsoft\Edge\User Data\Default\History 操作结果:已阻止 进程 ID:17140 操作进程:C:\Users\**\AppData\Local\Microsoft\BingWallpaperApp\BingWallpaperApp.exe 操作进程命令行:"C:\Users\**\AppData\Local\Microsoft\BingWallpaperApp\BingWallpaperApp.exe" 父进程 ID:12988 父进程:C:\Windows\explorer.exe 父进程命令行:C:\WINDOWS\Explorer.EXE |
Select Language