这是一个创建于 1395 天前的主题,其中的信息可能已经有所发展或是发生改变。
前些天用 QQ,为了防止一些流氓行为,特地去的 MS Store 里面安装的 QQ 桌面版。
幸好之前用火绒的自定义拦截功能,设置了一些重要或敏感数据目录的保护。
拦截日志如下:
第 1 条附言 · 2021-01-17 00:57:25 +08:00
@qwqdanchun #21 对 QQ 的行为进行进行了逆向分析,实锤了 https://bbs.pediy.com/thread-265359.htm
第 2 条附言 · 2021-01-17 12:50:59 +08:00
以History为关键字,最早可以追溯到9.1.5版本(2019年6月),这么说此种行为至少已经进行一年半了:
-
AppUtil.dll (有腾讯的数字签名)
- SHA256: C9FD14D538AAEFBC0624F3E50BF582C4306D7674F70518070B3D1179BFD596D7
- QQ 9.1.5 下载来源
第 3 条附言 · 2021-01-18 11:31:03 +08:00
简单总结一下:
影响范围
- QQ Windows 9.0.4 (发布于2018/06/15)之后的版本 (thx: @ddsfeng #315)
- TIM Windows 3.1.0 (发布于2020/07/29)之后的版本
具体行为
-
登录10分钟之后,读取浏览器浏览历史
- 读取
%LocalAppData%目录下所有基于Chromium的浏览器历史记录;具体见@qwqdanchun #21 的分析 - 读取IE历史(FindFirstUrlCacheEntryW),具体见 @raion #229
- 读取
- 对读取到的url进行md5,并在本地进行比较 @swchzq #157
-
md5匹配的情况下,上传相应分组ID(主要为电商、股票等关键词),详见@Terang #166, @raion #229
- 第三个字符串应为
uland.taobao.com/sem/tbsearch?(来自知乎用户Harrion)
- 第三个字符串应为
事件进展
- 目前,QQ 9.4.2 (发布于2021/01/17 20:32)移除了相应代码,暂停了侵害行为 (thx: @weifan #368)
- 目前,TIM 3.3.0 (发布于2021/01/17 21:39)移除了相应代码,暂停了侵害行为
 |
301
acess 2021-01-17 21:25:50 +08:00  1
@bin456789
这个例子,也许算是“不放弃治疗”。 背景是这样:众所周知很多流氓软件会改系统关联,改默认浏览器 /播放器等等,毕竟是兵家必争之地。微软呢,很显然也很想推自己家的 Edge 浏览器。 然后,我就看到了这么几件事: 1.新闻报道 Win10 出现新 bug“闪屏抽搐”,原因是系统在把被篡改的关联强制改回来,对于浏览器,就是重置回 edge 。 2.可以看到有人公开过逆向分析,揭示出 Win10 是怎么保护默认关联的——然后,这个保护很显然是可以绕过的,原文就提到了绕过保护的方法。 3.某浏览器为了防止自己设定的默认浏览器被别人篡改,用内核驱动监视、锁定了有关默认浏览器的注册表项,然后 explorer 试图把默认浏览器重置回 edge 时,访问被驱动拦截、拒绝,导致桌面图标和任务栏消失“黑屏”的故障。 也许“不放弃治疗”并不是没有效果,可以阻挡最小白的坏人,但在我看来实际情况还是不忍直视。 |
 |
302
Dwayne 2021-01-17 21:26:52 +08:00 35
 |
 |
305
Aaralyn 2021-01-17 21:29:47 +08:00 15
国内互联网就是毒瘤,整个大环境就是养蛊,最后能存活下来的都是大毒虫。
BAT 三巨头都是些什么玩意儿啊,最恶心的还是这些企业干了这么多昧良心的事一点惩罚也没有。 |
 |
306
orzfly 2021-01-17 21:33:52 +08:00 3
|
 |
307
Betty 2021-01-17 21:58:19 +08:00
那微信 PC 版会不会也做同样的事?有没有高人验证一下
|
 |
308
bin456789 2021-01-17 22:06:17 +08:00
@yanqiyu 这就不对了,Lastpass 这些软件保存的密码第三方能读?
Chrome 都用谷歌帐号登录了,每个谷歌账户自动对应一个唯一的密钥加密不就行了? 说得太多了,楼被我带歪了 不过我就觉得这事不合理 |
 |
309
lifetimeporn 2021-01-17 22:10:10 +08:00
我看腾讯对这次的曝光是想要冷处理,晾你们几天,这种曝光热度自然没法持续
热度下去了没人讨论,所有人都当作这事没发生 所以我在此呼吁各位加快自己转向其他通讯软件(例如 TG )作为主力通讯工具的步伐 实在要用腾讯全家桶,尽量把客户端安装在虚拟机上运行,甚至不使用 PC\Mac\Linux 客户端 目前不知 iOS 、安卓是否会这样明目张胆窃取隐私,但至少在还能自己有那么点控制权的个人电脑上能避一端是一端 |
 |
310
foldblade 2021-01-17 22:23:12 +08:00
360 在 11 年前就提示了(误
 |
 |
311
imycc 2021-01-17 22:28:11 +08:00
@Betty 用同样的检测工具( process monitor ),没找到微信操作 AppData/Local/目录的行为,其他的有没有就不知道了
|
 |
312
tutugreen 2021-01-17 22:28:32 +08:00 2
|
 |
315
ddsfeng 2021-01-17 22:52:18 +08:00 4
掐指一算, 这个功能是从 QQ v9.0.4.23766 (cnbeta.com/articles/soft/737285.htm) 这个版本中加入的(2018 年 06 月 16 日 发布), 上一个版本 QQ v9.0.3.23756 (cnbeta.com/articles/soft/732535.htm) 中并没有这段代码(2018 年 06 月 01 日 发布).
并不像楼主所说的, 从 v9.1.5 加入的, 而是更高. |
 |
316
canwushuang 2021-01-17 22:56:14 +08:00 via Android
@krisitina qq 支持好像不是很好。微信倒还行。
|
 |
317
jimmyczm 2021-01-17 23:00:16 +08:00
万恶的腾讯,建议早日拆分
|
 |
318
pengle44 2021-01-17 23:00:31 +08:00
妈的,麻痹大意了。国内对腾讯的印象还蛮好的,比较低调,不像 jack ma,周大炮大放厥词。很多软件广告少点,例如 qq 输入法,qq 影音什么的。想不到啊,CTM,除了公司电脑,其他 3 台电脑卸载所有国内软件。对国产彻底失望了。
|
 |
319
HongJay 2021-01-17 23:01:17 +08:00
这也太恶心了。。根本没有防范的手段
|
|
321
pengle44 2021-01-17 23:03:29 +08:00 2
连带 wps,百度网盘 ,迅雷 ,搜狗浏览器,全卸掉。国产软件真的不可以相信,如当年的三鹿奶粉一样。
|
|
322
canwushuang 2021-01-17 23:05:18 +08:00 via Android
@monsterX 移动端直接开相机,上麦克风,读输入法记录了。
|
 |
323
yangzhaofeng 2021-01-17 23:06:14 +08:00
|
 |
324
windyskr 2021-01-17 23:06:30 +08:00 via Android
真的毫无底线,那么在 MAC 有没有这种行为呢?
|
|
325
canwushuang 2021-01-17 23:10:01 +08:00 via Android
@dreamtrail 不一样,一个是,我知道他知道我知道什么。另一个是,我不知道他知道我知道什么。
|
 |
328
typeday 2021-01-17 23:29:02 +08:00
@pengle44 就像职场中背后捅你一刀的都是平时看上去很低调的,喜欢出风头大放厥词的人仅仅是看上去惹人厌但不会对你有什么威胁。
|
|
329
tutugreen 2021-01-17 23:29:07 +08:00 3
@weifan 刚刚楼下反馈 360 有问题,就编辑更新了一下,可能提到了什么关键字,变审核了 orz
可以这里下: https://github.com/tutugreen/Huorong-Rules/tree/main/Tencent 这个是假设你的安装目录是在 任意 Tencent 目录(包括子目录) 下(比如 QQ 是 C:\Program Files (x86)\Tencent\QQ\ )。 TX 目前包括 Common Files 、AppData 都是起名的 Tencent,就直接匹配了,如果你装在别的目录了,可以修改一下“发起程序”。(如果 tx 以后自己改了,到时再更新) 聊天记录也是不分盘符,匹配 Tencent Files 、WeChat Files 之类的,有需要也可以加。 |
 |
330
jianshu 2021-01-17 23:35:39 +08:00
@tutugreen tencent-auto.json 会提示导入失败,tencent-custom.json 正常,火绒为最新版本。
|
 |
331
intelmd 2021-01-17 23:36:10 +08:00 via Android
想知道微信 pc 版会吗?
|
 |
332
yklaxds 2021-01-17 23:42:43 +08:00 via Android
果然国产软件都是毒瘤
|
 |
333
Mac 2021-01-17 23:47:21 +08:00
@jianshu #330 自定义规则和自动处理规则导的地方不一样的。我一开始也被这个困惑了好久,而且火绒官网的规则频道也没什么指导性说明,就是很乱,刚进这个频道完全一脸懵逼。进了自定义防护后,顶部两个 TAB 很不明显的。
|
 |
335
CatalystR 2021-01-18 00:08:51 +08:00
用 win10 的勒索软件防护.不知道能不能挡得住
=================================== ①管理员已阻止此操作。 已阻止应用或进程: QQ.exe 受保护的文件夹: %userprofile%\Documents 阻止者:文件夹限制访问 你可以允许应用访问受保护的文件夹,但应仅允许你信 任的应用。 =================================== |
 |
336
aceralon 2021-01-18 00:12:19 +08:00 via Android
|
 |
337
lerry 2021-01-18 00:23:06 +08:00
怕他们耍流氓,我也是在 Store 装的,没想到。。
|
 |
338
lyzy 2021-01-18 00:39:29 +08:00 via iPhone
哎..
|
|
339
lerry 2021-01-18 00:40:48 +08:00
上次为了下载一个淘宝客服发过来的 word 文件,下载了阿里旺旺买家版(手机淘宝,旺信什么的都试了,无法下载)
用完马上卸载了,结果发现还是给我留下了两个程序,支付宝安全控件,支付宝数字证书组件 还有一个运行中的服务,Alipay payment client security service 看来他们是不懂卸载什么意思,太恶心了 |
 |
340
ga6840 2021-01-18 01:00:58 +08:00 via Android
已经在 hacker news 上首页了
|
 |
341
oyss 2021-01-18 01:02:48 +08:00
目前我是这样处理,也不用火绒,新建一个本地账号.然后以其他账户打开 qq.这样 qq 就只会去扫你新建的空号的浏览记录了.不会去扫你的主号.
|
 |
343
cnfzv 2021-01-18 01:28:55 +08:00
@BigbyWolf 默认模板阻止了吗?这个我还真不知道,没测试,尴尬了。问题是 qq 不止查看浏览器,我的观察发现搜狗输入法的词典、桌面文件都被扫了一遍,然后 User 下的用户名文件夹是不能阻止的,阻止后会导战 qq 无法启动(我用 qq9.4 27525 测试的),我以为可以设置白名单的,研究了好久发现只有黑名单。qq 这玩意你没法保证不会扫描别的文件夹。
|
 |
345
ZELINK 2021-01-18 01:48:34 +08:00
@flyn History 是一个文件不是目录,用 Chrom 浏览器的都存在“C:\Users\***\AppData\Local\Google\Chrome\User Data\Default”里面
|
 |
346
Planarians 2021-01-18 03:06:28 +08:00 via iPhone
@ytoworld 怕不是就他们要求的(
|
 |
347
docx 2021-01-18 03:41:59 +08:00 via Android
话说,有高人看看 Android / iOS 的 QQ 和 TIM 吗……
|
 |
348
DuckSoft 2021-01-18 04:53:35 +08:00
|
 |
349
wzw 2021-01-18 05:19:49 +08:00 via iPhone
不用又不行……
|
 |
350
Biggoldfish 2021-01-18 05:26:42 +08:00
|
 |
351
cwyalpha 2021-01-18 07:09:48 +08:00 via iPhone
搭车问下 t 家要用短信登陆怎么破 据了解目前有针对其短信的监测了
|
 |
352
cstj0505 2021-01-18 08:06:15 +08:00 via Android
@aloxaf 鸟都不会鸟你,过几天就没人提了。倒是刚出不久个人信息保护法,不知道会不会这么快 txt
|
 |
353
gggxxxx 2021-01-18 08:22:31 +08:00
早就说了国内用户面对这些流氓行为应该有志气一点,直接抵制是最好的做法。
谁记得当年的绿坝?当时没有推广成功,现在分摊给各个大厂。现在的企鹅 360 本质上就是绿坝 2.0,没有一家厂商是好的。浏览器历史记录是天朝某个部门监控重中之重,而且这些厂商最喜欢干的事还有伪装成杀毒软件干收集信息的事。 |
 |
354
LongBitcoin 2021-01-18 08:36:54 +08:00 1
国内大厂、国产软件都是毒瘤!!! CTMD 的
|
 |
355
yanqiyu 2021-01-18 08:40:17 +08:00 via Android
@bin456789 哪怕是 lastpass,泄露了主密钥大家也都能读。
只不过对于 chrome 而言主密钥就等于是你的 windows 的账户凭据。 保证这里的安全的核心是不要把电脑解锁了给别人,另外不要泄漏自己的账户密码,lastpass 也是一个道理,你解锁了 lastpass 时候别人至少能 dump 内存拿明文,你泄露了主密码可以直接解析你的密码库。 哪怕每个 Google 账户被一个密钥加密,这个密钥的密码放在哪儿?要是放在用户脑袋里面,每次打开浏览器(或者使用填充)都得输入一次密码?这就破坏了自动填充的易用性。 Google 设计的时候就假定,每个 Windows 用户对于这个账户的资源应该是完全控制,要是要把电脑交给别人用,自然应该建立一个新账户。 |
 |
356
jy02201949 2021-01-18 08:44:43 +08:00
@pengle44 #318 当年 QQProtect 后台自动下载安全管家并强制安装,这个公司在我心里就彻底烂掉了,所有腾讯系的都沙盘伺候
|
 |
357
fuwu1245 2021-01-18 09:15:48 +08:00
Mac QQ 是不是也是类似呢?
Mac 下有没有类似 ProMon 的工具 |
 |
358
testver 2021-01-18 09:17:39 +08:00 1
看来沙盘也没用,win 下只能虚拟机装国产软件了
|
 |
359
fanling521 2021-01-18 09:26:27 +08:00
你还有隐私可言嘛 无所谓的
|
 |
361
Oysmart 2021-01-18 09:43:06 +08:00
@yangzhaofeng 这是啥监控软件?
|
 |
362
PeacePeach 2021-01-18 09:44:17 +08:00
有一个问题:所有在腾讯的码农兄弟都是同谋吗?
|
 |
363
mm163 2021-01-18 09:45:31 +08:00 2
产品经理为了业绩毫无底线;监管不力投诉无门;用户普遍无所谓(跟他说 qq/tim 读取你的上网记录,告诉我:那又怎样);劣币驱逐良币恶性循环,造成国内互联网 /移动互联网企业大都一个模子扣出来的。
|
 |
365
weifan 2021-01-18 09:51:23 +08:00
@lifetimeporn 替换是不可能的,这玩意取决去别人!沙盒是一个不错的选择吧
|
 |
366
isnullstring 2021-01-18 09:54:00 +08:00
幸好没装
|
|
367
Oysmart 2021-01-18 09:54:24 +08:00 1
我在想火绒不会上传用户隐私么?
|
|
368
weifan 2021-01-18 09:57:01 +08:00
https://ae04.alicdn.com/kf/Hcf382e948ef04fd0854d345efba382d9j.png 腾讯升级了,昨天( 2021.01.17 )
|
 |
369
jaleo 2021-01-18 10:01:12 +08:00
QQ7.9 轻聊版 没有发现这种行为
|
 |
370
ju5t4fun 2021-01-18 10:02:03 +08:00
好家伙,火绒添加规则后抓住 AutoDesk 读取了我浏览器目录和 SS 目录
|
 |
371
anonymous1024 2021-01-18 10:05:20 +08:00
这个帖子居然没有水深火热。垃圾腾讯
|
 |
373
NeoChen 2021-01-18 10:10:17 +08:00
windows 环境全靠火绒了,不知道 Mac 下有没有类似问题。。。
|
 |
374
brucmao 2021-01-18 10:16:01 +08:00
|
 |
375
santheniko 2021-01-18 10:16:19 +08:00
360 也不是好鸟,之前曝光过随意上传他认为用户系统内可疑文件的丑闻。
|
 |
376
ShuangChenyue 2021-01-18 10:20:04 +08:00
用 sandboxie 会被读取到浏览器记录吗?
|
|
377
bin456789 2021-01-18 10:25:18 +08:00 via Android
@yanqiyu 密钥可以是自动的,让谷歌自动生成分发。
关于 dump,我之前回复其他人也说了, 不能因为一部分漏洞而放弃治疗。 另外 ChromePass 这个软件,官网显示,对新版 Yandex 浏览器无效,Chrome 也可以参考 Yandex 浏览器设计加密。 或者换个思路。我密码都在谷歌服务器里面了,完全可以设计成要登录的时候,从谷歌服务器获取单个网站的密码。 |
 |
378
zhang0320 2021-01-18 10:27:43 +08:00
啊这。。。顶个热度
|
 |
379
axcjj 2021-01-18 10:31:15 +08:00
啊这 ,,
|
 |
380
danclark 2021-01-18 10:33:18 +08:00 6
如果是石锤的话,这个行为很可能已经触犯了「刑法」 253 条之一第三款的「侵犯公民个人信息罪」建议各位程序员大佬们多多录屏取证,有条件的给录屏做一个可信时间戳,不然以后就很难固定证据了。
———————————————————————————————— 《中华人民共和国刑法( 2017 修正)》 第二百五十三条之一 [侵犯公民个人信息罪] 违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。 窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。 单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。 |
 |
381
Illusionary 2021-01-18 10:33:48 +08:00 1
说不定这也是维稳工作的一部分,上头命令呢
|
 |
382
honeyshine75 2021-01-18 10:37:31 +08:00 1
@BigbyWolf 老哥,能不能来个教程,怎么防止访问敏感数据
|
 |
383
las917vki 2021-01-18 10:40:25 +08:00
你跟你女朋友的聊天、打情骂俏、one night love,你的家人,你的工作,你每天吃什么去哪里,都在 tencent 的范围内,你又能逃到哪里去?
躺平接受,不用挣扎了。 没有竞争的结果就是你只能接受。 要挣扎,就去 Telegram 。 |
 |
386
wangkun025 2021-01-18 10:55:02 +08:00
QQ 已经卸载。
|
 |
388
pdpdpd 2021-01-18 11:09:53 +08:00
TIM 有没
|
 |
389
WIIIII 2021-01-18 11:22:26 +08:00
关注 TIM 有没有
|
 |
392
xishijt 2021-01-18 11:38:35 +08:00
QQ9.1.9.可以复现
|
 |
393
ryansvn 2021-01-18 11:41:51 +08:00
不光是企鹅,所有的国产,都是虚拟机靠谱啊
|
 |
394
xml123 2021-01-18 11:55:27 +08:00
@Lightbright #112 请问这个修改的效果是什么,有来源吗
|
 |
395
zyzand 2021-01-18 11:56:57 +08:00 via Android
有么有大佬分析一下安卓端的
|
 |
396
jiezhi 2021-01-18 11:58:53 +08:00 via iPhone
腾讯:亲,决定,火绒、QQ 二选一吧
|
 |
397
coolnow 2021-01-18 11:59:27 +08:00
国产软件彻底沦陷
|
|
399
jiezhi 2021-01-18 12:01:33 +08:00
看雪那个帖子不能评论了吧,其他帖子有回复框,那个帖子显示我没登录
|
 |
400
terence4444 2021-01-18 12:03:10 +08:00 via iPhone
@las917vki 我的家庭范围消息已经切换到 iMessage 了。
|
Select Language