QQ正在尝试读取你的浏览记录
翻墙的朋友最好悠着点,看到过不少被抓被请喝茶的新闻,不排除不是腾讯在搞的鬼。毕竟想从Twitter和Youtube往回追溯你可能性不大,毕竟都是有机场中转的。
反之,QQ和微信等腾讯公司的软件从你的电脑读取你的浏览器历史记录偷窥你的一举一动,方便有效的多。我估计被抓的十有八九都是腾讯这种偷窥行为搞出来的,毕竟因为微信说话和聊天就被抓的人就不少。
看到这个新闻我是把WIN10系统下的所有腾讯软件都卸载了,以后用腾讯的软件也是在IOS和MAC系统下用了。封闭系统也有封闭系统的好处,毕竟这些腾讯流氓拿不到权限。
QQ 正在尝试读取你的浏览记录 原文:https://www.v2ex.com/t/745030
前些天用 QQ,为了防止一些流氓行为,特地去的 MS Store 里面安装的 QQ 桌面版。
幸好之前用火绒的自定义拦截功能,设置了一些重要或敏感数据目录的保护。
拦截日志如下:
第 1 条附言 · 1 天前
@qwqdanchun #21 对 QQ 的行为进行进行了逆向分析,实锤了 https://bbs.pediy.com/thread-265359.htm
第 2 条附言 · 1 天前
以History为关键字,最早可以追溯到9.1.5版本(2019年6月),这么说此种行为至少已经进行一年半了:AppUtil.dll (有腾讯的数字签名)
SHA256: C9FD14D538AAEFBC0624F3E50BF582C4306D7674F70518070B3D1179BFD596D7
QQ 9.1.5 下载来源
第 3 条附言 · 9 小时 37 分钟前
简单总结一下:
影响范围
QQ Windows 9.0.4 (发布于2018/06/15)之后的版本 (thx: @ddsfeng #315)
TIM Windows 3.1.0 (发布于2020/07/29)之后的版本
具体行为
登录10分钟之后,读取浏览器浏览历史
读取 %LocalAppData% 目录下所有基于Chromium的浏览器历史记录;具体见@qwqdanchun #21 的分析
读取IE历史(FindFirstUrlCacheEntryW),具体见 @raion #229
对读取到的url进行md5,并在本地进行比较 @swchzq #157
md5匹配的情况下,上传相应分组ID(主要为电商、股票等关键词),详见@Terang #166, @raion #229
第三个字符串应为 uland.taobao.com/sem/tbsearch? (来自知乎用户Harrion)
事件进展
目前,QQ 9.4.2 (发布于2021/01/17 20:32)移除了相应代码,暂停了侵害行为 (thx: @weifan #368)
目前,TIM 3.3.0 (发布于2021/01/17 21:39)移除了相应代码,暂停了侵害行为
关于QQ读取Chrome历史记录的澄清 原文:https://bbs.pediy.com/thread-265359.htm
今天看到群里有同学发了一篇v2ex上的帖子(https://www.v2ex.com/t/745030),说QQ会读取Chrome的历史记录,被火绒自定义规则拦截了,本来我是不信的,但是他说他复现了,而且是QQ登录10分钟后才会去访问。
这我就想去验证下了,开虚拟机装QQ、Chrome,然后打开Process Monitor开始等。规则简单的过滤下。
果然看到了读取AppData\Local\Google\Chrome\User Data\Default\History等目录的操作。
而且时间也是恰到好处的十分钟。
这是实锤了QQ和Chrome过不去啊,这我可不信,把规则去掉,重新翻了一下才发现果然是冤枉QQ了啊。
受害人之多令人震惊,仔细一看,这玩意是遍历了Appdata\Local\下的所有文件夹,然后加上User Data\Default\History去读啊。User Data\Default\History是谷歌系浏览器(火狐等浏览器不熟,不清楚目录如何)默认的历史纪录存放位置,Chrome中枪也就很正常了。
然后就该研究研究QQ为啥要这么干了,读取到的浏览器历史记录又拿来干啥了呢?
挂上x32dbg,动态调试找到位置。
然后去IDA里直接反编译出来,如下(位置在AppUtil.dll中 .text:510EFB98 附近)
这一段的逻辑还是很好看懂的,先读取各种 User Data\Default\History 文件,读到了就复制到Temp目录下的temphis.db。回去看下Procmom,果然没错。
再之后的操作就简单了,SQLite读取数据库,然后“select url from urls”,这是在干什么大家都懂哈。后面就不接着讲了,有兴趣的可以自己接着看。
结论,QQ并不是特意读取Chrome的历史记录的,而是会试图读取电脑里所有谷歌系浏览器的历史记录并提取链接,确认会中招的浏览器包括但不限于Chrome、Chromium、360极速、360安全、猎豹、2345等浏览器。
晚上来编辑一下,刚才去试了下TIM,果然经典重现,而且比QQ还离谱,不多说直接上图。
:D 少女祈祷中...
何止于QQ,我敢说几乎所有的软件都有类似的我扫描,或多或少来说.
我觉得问题不大,毕竟已经透的底儿朝天了。