前些天用 QQ,为了防止一些流氓行为,特地去的 MS Store 里面安装的 QQ 桌面版。
幸好之前用火绒的自定义拦截功能,设置了一些重要或敏感数据目录的保护。
拦截日志如下:
第 1 条附言 2021-01-17 00:57:25 +08:00
@qwqdanchun #21 对 QQ 的行为进行进行了逆向分析,实锤了 https://bbs.pediy.com/thread-265359.htm
第 2 条附言 2021-01-17 12:50:59 +08:00
以History为关键字,最早可以追溯到9.1.5版本(2019年6月),这么说此种行为至少已经进行一年半了:
- AppUtil.dll (有腾讯的数字签名)
- SHA256: C9FD14D538AAEFBC0624F3E50BF582C4306D7674F70518070B3D1179BFD596D7
- QQ 9.1.5 下载来源
第 3 条附言 2021-01-18 11:31:03 +08:00
简单总结一下:
影响范围
- QQ Windows 9.0.4 (发布于2018/06/15)之后的版本 (thx: @ddsfeng #315)
- TIM Windows 3.1.0 (发布于2020/07/29)之后的版本
具体行为
- 登录10分钟之后,读取浏览器浏览历史
- 读取
%LocalAppData%目录下所有基于Chromium的浏览器历史记录;具体见@qwqdanchun #21 的分析 - 读取IE历史(FindFirstUrlCacheEntryW),具体见 @raion #229
- 读取
- 对读取到的url进行md5,并在本地进行比较 @swchzq #157
- md5匹配的情况下,上传相应分组ID(主要为电商、股票等关键词),详见@Terang #166, @raion #229
- 第三个字符串应为
uland.taobao.com/sem/tbsearch?(来自知乎用户Harrion)
- 第三个字符串应为
事件进展
- 目前,QQ 9.4.2 (发布于2021/01/17 20:32)移除了相应代码,暂停了侵害行为 (thx: @weifan #368)
- 目前,TIM 3.3.0 (发布于2021/01/17 21:39)移除了相应代码,暂停了侵害行为
 | 1 renmu123 2021-01-14 21:10:40 +08:00 via Android  10 qq 还有一个更流氓的 qqprotect 的,安装完 qq 或 tim 后自动启动,无法关闭,关闭后 qq 将无法打开,美其名曰保护你的安全 |
 | 2 mengyx OP 1 @renmu123 #1 商店里面安装的没有 QQ Protect 。就是因为这个原因,才选择从 MS Store 安装。版本比较旧,不过能用就是了 |
 | 4 invalid522 2021-01-14 21:28:46 +08:00 1 如果电脑有敏感文件而又不得不长期使用某些流氓软件,虚拟机或者两部 PC 的配置还是刚需…… |
 | 5 wwqm2 2021-01-14 21:32:41 +08:00 专门一个手机做这方面用途 |
| 7 mengyx OP |
| 8 mengyx OP 8 @hzqim #6 我的话,主要就是 - SSH(和 Key)数据 C:\Users\XXX\.ssh - GPG 数据 C:\Users\XXX\.gnupg - 微信数据 C:\Users\XXX\Documents\Tencent Files - 浏览器数据 C:\Users\XXX\AppData\Local\Microsoft\Edge C:\Users\XXX\AppData\Local\Google\Chrome |
 | 9 jasonreg 2021-01-14 21:48:35 +08:00 via iPhone 1 可以试试 Windows Sandbox |
 | 10 BwNVlwSq 2021-01-14 22:02:53 +08:00 via iPhone 没想到 QQ 这么骚…… |
 | 12 40EaE5uJO3Xt1VVa 2021-01-14 22:14:47 +08:00 自动看过一个帖子,tim 会读取梯子配置文件之后,我就重装系统,把大部分全丢尽虚拟机了,物理机唯一的一个国产软件就是雷神加速器。 |
 | 13 qa63842 2021-01-14 22:22:03 +08:00 via Android 没想到啊 |
 | 14 Cooky 2021-01-14 22:23:32 +08:00 via Android sandboxie 还能用 |
 | 16 Mac 2021-01-14 23:02:44 +08:00 有啥火绒的规则可以分享伐?我都是默认的 |
| 17 mengyx OP 1 @Mac #16,我脑里面没什么个人文件,所以只上了#8 里面几条 其他的可以去火绒的论坛里面看下,https://bbs.huorong.cn/forum.php?mod=forumdisplay&fid=45&filter=typeid&typeid=61 其实想一想哪些数据对自己重要,整个目录包含进去,只允许对应的程序读取就好 |
| 18 mengyx OP 1 @mengyx #8 勘误 微信数据是 C:\Users\XXX\Documents\Wechat Files C:\Users\XXX\Documents\Tencent Files 是 QQ 的数据,贴错了 |
 | 20 SekiBetu 2021-01-15 03:16:48 +08:00 国产软件没办法的 |
 | 21 qwqdanchun 2021-01-16 16:20:35 +08:00 26 其实不是针对 Chrome,https://bbs.pediy.com/thread-265359.htm |
 | 22 brainor 2021-01-17 07:21:04 +08:00 4 @qwqdanchun 这也太搞笑了…澄清了不是爬了 Chrome 的历史文件,而是爬了所有浏览器的历史文件哈哈 |
| 23 brainor 2021-01-17 07:32:25 +08:00 @qwqdanchun 不仅是历史文件,我突然想到各个浏览器的 cookies 从外部也是能直接访问到的,不知道 QQ 有没有这样的行为呢? |
| 25 SekiBetu 2021-01-17 10:59:50 +08:00 请问有什么解决办法吗,发现读取的不止一个软件 |
| 26 qwqdanchun 2021-01-17 11:00:46 +08:00 @SekiBetu 类似火绒 hips 之类的软件都可以 |
 | 27 shanliang 2021-01-17 11:03:46 +08:00 mac 上能复现吗? |
 | 28 momocraft 2021-01-17 11:18:12 +08:00 win store 的 uwp 版去年年底起无法新登录. 现在 win store 能用的只有那个 exe 版, 结果还这么猛. |
| 30 momocraft 2021-01-17 11:22:21 +08:00 如果还是想用 uwp 的 exe 版 qq (猜测相比腾讯自己发布的, 可能已经是洁版了) 可以用 sandboxie 等东西跑吗? |
| 31 mengyx OP @shanliang #27 目前都是在 Windows 上面测试的;理论上 Mac 上面也可以读取,你可以验证一下试试 |
| 32 qwqdanchun 2021-01-17 11:30:17 +08:00 @shanliang 没有 mac 设备,等一手别人的后续分析 |
| 33 mengyx OP @gxgxxn #29 我下载的是这个,没有 QQ Protect,相对干净一点 https://www.microsoft.com/en-us/p/qq%e6%a1%8c%e9%9d%a2%e7%89%88/9nhlgf0zwc5s?activetab=pivot:overviewtab |
 | 34 krisitina 2021-01-17 11:38:42 +08:00 2 https://github.com/milkice233/efb-qq-slave 可以试试这个吧, 微信 QQ telegram 一把梭 |
 | 35 Les1ie 2021-01-17 11:40:41 +08:00 2 |
 | 36 chenjian026 2021-01-17 11:45:09 +08:00 via Android 国内很多大众化的软件都会读取你的 V2RAY 文件夹 |
 | 37 Williams2008 2021-01-17 11:50:16 +08:00 via Android @momocraft 麻花疼远程施法?看来只能上虚拟机了,流氓快要把我逼成技术专家了 |
 | 38 sublimevsatom 2021-01-17 11:55:14 +08:00 看到这个,我想到了这个腾讯 doh 的 edns client subnet 的支持,是直接发送整个本地 ip 公网地址的, 阿里的 doh 也没有这样做,它是发送本地 ip 地址的 /24 。 cloudflare 和 google 的 doh 也是没有这样做的。 所以,我想,在腾讯面前根本就没有隐私吧 |
 | 39 talen666 2021-01-17 12:01:05 +08:00 法律不管,很难处理 |
 | 40 jarodlee 2021-01-17 12:01:29 +08:00 腾讯真是太牛 B 了....只能说以后 QQ 请到虚拟机中运行吧,惹不起 |
 | 41 0ZXYDDu796nVCFxq 2021-01-17 12:11:21 +08:00 澄清一下:我不是针对谁,我是说在座各位,都被我扒光了 |
 | 42 tearslee 2021-01-17 12:12:27 +08:00 看了 https://bbs.pediy.com/thread-265359.htm 的文章,吓得我立马建了个规则,靠 |
 | 43 Rainyf 2021-01-17 12:17:26 +08:00 我一直以为国产软件是直接抓包偷信息的。。。。 仅看 qq 偷 chrome 记录的事,无痕浏览就可以防了? |
 | 44 aceralon 2021-01-17 12:21:03 +08:00 15 可以通过 Windows 安全中心-病毒和威胁防护-勒索软件防护-文件夹访问限制 来阻止访问,然后通过允许应用允许浏览器访问这些文件夹 |
 | 45 zhxhwyzh14 2021-01-17 12:24:58 +08:00 via Android @aceralon 好方法,谢谢分享 |
 | 46 est 2021-01-17 12:26:16 +08:00 4 chrome 启动参数 --user-data-dir=/opt/other/my.chrome 不用谢。 |
 | 47 TheEastWind 2021-01-17 12:30:08 +08:00 @mengyx 楼主说,“前些天用 QQ,为了防止一些流氓行为,特地去的 MS Store 里面安装的 QQ 桌面版。”就是你链接里的那个 |
 | 48 bihui 2021-01-17 12:30:16 +08:00 所以大佬,自定义拦截在哪儿? |
 | 49 BigbyWolf 2021-01-17 12:34:09 +08:00 1 https://github.com/sandboxie-plus/Sandboxie 都侵入式审核了,也是因为"如果非用不可的话"。 |
 | 50 chinvo 2021-01-17 12:38:45 +08:00 via iPhone 1 澄清一下:我们 QQ 不是针对 chrome 你一家 |
 | 51 BFDZ 2021-01-17 12:46:49 +08:00 安卓手机也会读吗?手机没有自定义文件防护,文件读取只能全局放行 |
 | 52 duebasser 2021-01-17 12:47:30 +08:00 哦豁,导入社区分享的规则失败,新版本好像只能手动导入 |
 | 53 festoney8 2021-01-17 12:48:14 +08:00 process monitor 过滤规则 Path 包含 History 有惊喜,连 Chrome 插件的 history 都没放过 |
 | 54 NSAgold 2021-01-17 12:48:48 +08:00 @duebasser 因为你用的规则 json 是针对旧版本的 打开 json 会发现明显的“3.0”字样 新版的是“5.0”字样 |
 | 55 ifxo 2021-01-17 12:50:15 +08:00 1 十几年前就是这样,lz 还跟发现新大陆了一样。。。 |
 | 56 skadi 2021-01-17 12:53:22 +08:00 笑死. |
 | 57 myself659 2021-01-17 12:56:02 +08:00 数据加密解决大部分问题,所以区块链走起来 |
 | 58 Nobody443 2021-01-17 12:57:01 +08:00 楼主能不能分享一下规则 |
 | 61 JasperHale 2021-01-17 12:59:46 +08:00 5 win10 沙盒.支持配置文件挂载指定文件夹,MS Store QQ 桌面版可以提取,挂在沙盒运行,体验很好. 不过沙盒太精简了,需要把宿主机的 X:\Windows\SysWOW64 挂到沙盒,配置只读.之后就能正常运行了. 测试过常用的,微信,百度网盘等等都能正常运行,除了迅雷,一开沙盒就挂,原因未知,不排除版本问题. 参考 > [win10 沙盒配置文件]( https://docs.microsoft.com/zh-cn/windows/security/threat-protection/windows-sandbox/windows-sandbox-configure-using-wsb-file) |
 | 62 Biggoldfish 2021-01-17 13:00:15 +08:00 1 @aceralon 感谢分享,但这个功能好像是默认信任了许多软件? 我自己尝试将一个目录添加到 Protected folders 里面,没有额外添加 Chrome 到信任目录,但仍然可以直接从 Chrome 里读取该目录的内容( Wechat store 版本同样可以读取)。在添加信任应用的页面有说明,Apps determined by Microsoft as friendly are always allowed 。如果这样的话,可能 QQ 等都会在默认的信任列表里?(毕竟该有的数字签名都有 |
 | 63 xou130 2021-01-17 13:00:51 +08:00 1 成功复现,用火绒就行。提个意见,火绒的自定义能白名单就更好了,指定一个 exe 只能访问哪些目录和文件 |
 | 64 aloxaf 2021-01-17 13:03:00 +08:00 22 让我来猜猜腾讯会怎么应对: 1. 压热度,冷处理 2. 声称是程序员个人行为 3. 声称是测试代码,误操作编译到了正式版中 4. 声称是代码写错了,本意只是整合 QQ 浏览器历史记录 5. 声称是为了某功能(比如恶意网址识别?)而收集的,一切数据只保留在本地 |
 | 65 TypeError 2021-01-17 13:03:01 +08:00 @Biggoldfish #62 我添加 Chrome 的 user data 目录到保护文件夹后,Chrome 访问也默认阻止了 |
| 66 JasperHale 2021-01-17 13:04:48 +08:00 回复不支持 markdown 又忘了.... @mengyx 这个分析贴,,,, |
 | 67 ziseyinzi 2021-01-17 13:04:57 +08:00 15 有没有可能就是:腾讯只是被迫这么做,想知道你浏览记录的不是腾讯,而是别的什么组织呢?一个猜想,不一定对。 |
 | 68 ScrapW 2021-01-17 13:06:52 +08:00 有没有办法让火绒禁止 qq 访问 appdata 下除了 qq 以外的所有文件夹 |
| 69 TypeError 2021-01-17 13:08:27 +08:00 1 @ziseyinzi #67 我猜有两个目的,一是为了收集访问记录搞用户画像卖广告,二是作为 Wei Wen 工具,为组织上报“不法”行为 |
| 70 zhxhwyzh14 2021-01-17 13:12:59 +08:00 via Android @TypeError 加入百名单 |
| 71 zhxhwyzh14 2021-01-17 13:13:23 +08:00 via Android @TypeError 把 chrome.exe 加入白名单。 |
| 72 TypeError 2021-01-17 13:13:38 +08:00 @zhxhwyzh14 #70 我知道,就是看下拦截能力怎么样 |
 | 73 JBaker 2021-01-17 13:14:45 +08:00 如果只是想要干掉读取历史记录这么一条的话,加一条 *\User Data\Default\History 的规则就可以了。 不过如果想保护更多东西的话,还是自己写记录比较好,写覆盖全一点的。 |
 | 74 yukiww233 2021-01-17 13:18:06 +08:00 2 tim 复现了 还不让在沙盒里跑,吐了 |
| 75 Biggoldfish 2021-01-17 13:18:24 +08:00 @TypeError 感谢,我把 Chrome 的目录添加进去确实访问会被弹窗限制 |
 | 78 littlewing 2021-01-17 13:20:42 +08:00 很好奇,Mac 能防住这种流氓吗,从 App Store 安装软件的版本 |
 | 79 vate32 2021-01-17 13:24:05 +08:00 @aceralon 用 Windows 安全中心的这个方法好像默认会添加\Documents 等文件夹为保护对象,还不能删除。但是 QQ 必须需要这个用作保存聊天记录等,只能放行,但是放行的话,好像对所有的目标都放行了。。。 |
 | 80 hellokt 2021-01-17 13:24:51 +08:00 看来国产软件完全不能用了, 腾讯就是流氓中的流氓, 话说到工信部的不良于垃圾信息举报中心(12321.cn)去投诉会有用吗? |
 | 81 yanqiyu 2021-01-17 13:27:11 +08:00 via Android 3 好家伙,幸好我是 Linux 桌面用户,根本安装不了 QQ (那个 Linux QQ 隔三差五掉线) |
 | 82 Kagari 2021-01-17 13:27:39 +08:00 via Android @myself659 #57 不是这个问题,数据加密了用的时候还是得解密,密钥不照样得存在本地。所以是在我们信任的设备上出现了不受信任的软件 |
 | 83 t6attack 2021-01-17 13:27:55 +08:00 4 用给 win 服务器做安全配置的方法,对个人 PC 也做精细化的权限配置,可以解决这个问题。但这样用电脑太不方便了。 新建一个低权限帐号,把你不想让它访问的目录一律“完全拒绝”。然后给 QQ 快捷方式加上 runas 参数。 更直观的说明:按住 shift,右键单机 应用程序 /快捷方式,有一个“以其他用户身份运行”,就是这个功能。指定一个你准备好的超低权限帐号就行。 |
 | 84 jiuqimax 2021-01-17 13:30:43 +08:00 via Android 太可怕了,已经不敢用 qq 了 |
| 85 Nobody443 2021-01-17 13:31:12 +08:00 @zhxhwyzh14 #71 请问怎么加入白名单,自定义防护里没有找到 |
 | 86 cxx0739 2021-01-17 13:32:00 +08:00 via Android 已卸载 |
| 87 JBaker 2021-01-17 13:32:33 +08:00 1 Firefox 的历史记录存在 C:\Users\*\AppData\Roaming\Mozilla\Firefox\Profiles\随机文件夹 有兴趣的同志们可以试着加一下规则看看,看看能不能弹出提示。 我加了一下,就只有 Firefox 弹出来过一次,QQ 目前还是没有考察那里的。当然不排除以后会考察那里的可能性。 |
 | 88 ooooo 2021-01-17 13:34:24 +08:00 尼玛 ! 这不是那些流氓间谍木马才干的事吗 ??? |
 | td width="10" valign="top"> 89 godling 2021-01-17 13:35:33 +08:00 @littlewing 同样好奇。mac 的设置里有个 full disk access,没有给 qq 权限不知道是不是就安全了 |
 | 90 everydaystruggle 2021-01-17 13:35:52 +08:00 求证,mac 上有类似风险么?微信呢?谢谢。 |
| 92 ifxo 2021-01-17 13:39:11 +08:00 2 @mengyx 因为腾讯也是分批次或者随机挑选的读取,不可能实时监控全世界的电脑,也没那力量,就是要混淆视听,有的人说读取了,有的人说没读取,让你摸不着头脑,不可能像你说的前些天才开始,不然咋会有 3q 大战发生,当初 360 抓 qq 现行,那都是 10 年前了吧 |
 | 93 Victrid 2021-01-17 13:39:24 +08:00 61 请各位注意,你们使用逆向工程方法分析腾讯公司的 QQ 软件的行为,是对腾讯公司知识产权产品的窃取,已经构成非法获取计算机信息系统数据、非法控制计算机信息系统罪。 另外,你们运用火绒干扰腾讯公司的 QQ 软件,已经导致其不能正常收集用户的浏览记录与文件,构成破坏计算机信息系统罪。火绒博锐(北京)科技有限公司提供了非法侵入、修改、干扰腾讯公司的 QQ 软件正常运行的工具,已经构成提供侵入、非法控制计算机信息系统程序、工具罪。 如果你们尽快自首,交代犯罪事实,积极消除你们对腾讯公司造成的不利影响,还可以争取宽大处理。 |
 | 94 tsingjyujing 2021-01-17 13:39:33 +08:00 1 @yanqiyu Linux 用户握个手,逃离 Win 和这些垃圾软件真的太好了 |
 | 97 applesbananas 2021-01-17 13:45:36 +08:00 via iPhone 2 成功复现 TIM 读取历史记录 https://i.loli.net/2021/01/17/iTwpF3G7uexAU2a.jpg |
| 98 TypeError 2021-01-17 13:46:22 +08:00 4 @Biggoldfish @zhxhwyzh14 @ScrapW @JasperHale @aceralon @est Windows 的保护文件夹还是不太够用,如果非得装国产,推荐把国产软件全扔 sandboxie 里 https://github.com/sandboxie-plus/Sandboxie |
 | 100 yuu95 2021-01-17 13:51:50 +08:00 via Android 还是沙盒开起来吧。。。。 这谁受得了 |
Select Language