腾讯 QQ
Google Chrome
网页浏览器
隐私
大数据

如何看待 QQ 扫描读取所有浏览器的历史记录?

[原创]关于QQ读取Chrome历史记录的澄清-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com [图片]
关注者
9,229
被浏览
5,675,601

912 个回答

近日,我们收到大量网友询问关于“QQ 读取浏览器历史记录”事件的情况。广大网友对此次事件的高度关注,充分说明大家愈发重视对于自身隐私的防护诉求。

我们认为,软件厂商随着商业软件功能、类别愈加细分化,产品和服务对数据的收集、存储、管理和使用,关系到用户的安全、隐私等权益。软件厂商应在涉及相关业务的同时保障用户的相关权益。同时也应对用户所产生的疑问,及时做出积极、客观及真实的回应。火绒也将会持续关注此问题,如果发现进一步的越权行为,火绒会及时采取拦截查杀等方式保护用户合理权益。

大家问的较多的几个问题:

1、腾讯QQ/Tim是否会读取浏览器历史记录?

是的。腾讯QQ/Tim会获取用户浏览器(Chrome、IE以及其它Chromium内核浏览器)的历史访问记录,在读取后会根据数据对信息情况进行分类。腾讯QQ/Tim会使用MD5比较历史记录中的搜索链接,链接包括淘宝、天猫、京东。搜索链接匹配之后,腾讯QQ/Tim还会使用MD5比较搜索的关键字,如炒股、融资等。

2、我的浏览器记录是否被泄露了?

经分析,目前尚未发现有将原始数据外泄的代码逻辑。

3、腾讯已经移除了相关逻辑并推送新版本?

是的。 经确认,腾讯QQ /Tim目前已经在最新版本(QQ版本号:9.4.2.27666,Tim版本号:3.3.0.21972)中移除了获取浏览器历史记录的相关代码逻辑。

更新后相关代码被移除

4、火绒除了自定义规则,还有其他方法防御侵犯隐私行为吗?

火绒安全软件自带的防御功能和默认规则,就可以防御各类侵犯用户隐私的行为,以保护大家的信息安全,还请大家放心使用。

火绒"高级防护-自定义防护"功能,旨在用户可以根据自身需求,通过自定义Hips规则的方式,对电脑中的程序进行控制。所以当火绒自定义规则拦截了某程序时,表明该程序触犯了用户自己设置的规则,但并不意味着该程序一定存在恶意行为。

注意:自定义规则的自由度较高,同一条规则,未必适用于所有用户。如果您添加了不适合您终端的规则,可能会导致一些不必要的麻烦:如出现系统或者某些应用程序无法正常工作,频繁出现拦截弹窗等问题。我们建议您对Windows系统有一定了解后,再通过添加合适的自定义规则,达到理想的防护效果。

我好活海报都找到辣,这是2019年就开始的宏图伟业

影响范围
因为代码是
v3 = (const WCHAR *)CTXStringW::operator wchar_t const *(v32, L"User Data\\Default\\History");
所以所有用`User Data\\Default\\History` 格式存历史记录的都会被wuliQQ审计,包括但不限于各种chrome浏览器、onedrive、城通网盘?啥的

----------------------------------------------------------------------------------------------------

(2021-01-19_19:35更新):

关于回复后的后续可以移步:

----------------------------------------------------------------------------------------------------

(2021-01-18_13:15更新):腾讯、360均已回复

腾讯:

360:

----------------------------------------------------------------------------------------------------

按来自v2ex的上图所述,此情况可以追溯到2019年的QQ9.1.5版本。

看分析,

    CTXStringW::CTXStringW((CTXStringW *)v32, (const struct CTXStringW *)pszFile);
    sub_510F5562(v21, pszFile);
    pszDest[0] = 0;
    v3 = (const WCHAR *)CTXStringW::operator wchar_t const *(v32, L"User Data\\Default\\History");
    PathCombineW(pszDest, v3, v17);
    v4 = GetFileAttributesW(pszDest);

直接关键字都能搜到

拉到最开头的函数查看交叉引用

双击,来到上层函数

这个函数很有意思,判断了我的`DomainName` 是否是 tencent.com或者包含 SNGPERF ,如果二者都不是,那么`v2==0`,进入到第38行的判断,顺利进入本次的亮点函数`sub_510EFA54()`。

接下来看看亮点函数到底做了啥,再次进入`sub_510EFA54()`,

注意到亮点函数的102、103行,

这是在寻找其感兴趣的值,转成16进制:

好像还漏了一行

据别的分析跑出来的md5,

----------------------------------------------------------------------------------------------------

(2021-01-18_13:15更新) 怎么跑出来的:

最后一个未知md5的跑出:

----------------------------------------------------------------------------------------------------


图片源自:sm.ms/image/hxiVvDNsf2l

这里在寻找(更新,下图的未知按照上述回答应为淘宝)

只关心电商?

再看数据库文件,

给删了?图片后面的md5值来自`sub_510EFF96()`

据其他dalao的后续分析,不会上传你的url,但是会把你的画像(类别)上传。

还记得最开始分析的时候,和tencent.com并列的那个SNGPERF么,

然后我开始对SNGPERF感兴趣了,这个关键词基本搜不到啥

难道是这个steam用户?

暂且认为SNG是新加坡,那么PERF。。

评论区有dalao指出:“SNGPERF有可能指的是社交网络事业群下的某一个部门吧,SNG是以前腾讯的事业群代号,PERF可能是性能调优?”


原回答:

SNGPERF没搞懂,希望知情人士透露一下>_<

关于 火绒进阶,

注意,

可以设置白名单。

关于chrome,你首先要确定个人资料的位置

在chrome地址栏输入

chrome://version/

然后,根据

然后在火绒填上类似

具体规则写法可以参考 bbs.huorong.cn/forum-45

这上面有很多隐私保护相关的规则,但是要注意添加类似系统保护的规则的时候,如果你不是太清楚,很容易把电脑搞崩,不过有个屏蔽广告的还不错。