如何看待 QQ 扫描读取所有浏览器的历史记录?

by , at 20 January 2021, tags : 腾讯 浏览器 隐私 读取 火绒 点击纠错 点击删除
使用CN2/CN2GIA顶级线路,支持Shadowsocks/V2ray科学上网,支持支付宝付款,每月仅需 5 美元
## 加入品葱精选 Telegram Channel ##

知乎用户 簞純 发表

置顶:

腾讯已经下场回应了,这件事也算告一段落,我就从技术的角度来稍微讲解一下吧。

恶意登录对于 QQ 来说确实是一个需要考虑的问题,毕竟大多数人安全意识不高,而腾讯就必须做好这方面的防护(举个例子,绝大部分键盘记录软件是记录不到电脑版 QQ 输入的密码的,所以这些年很少有因为密码而被盗的 QQ 号),而恶意软件的一大收入来源就是广告推广,最常见的就是大家经常看到的购物广告。两者结合在一起,腾讯用这种办法检测恶意登录也是说得过去的。不过无论如何,读取浏览记录的行为还是不恰当的,希望腾讯能尽快找出更好的办法解决恶意登录这个问题。

PS:作为一个技术人员(大概算得上),我还是更喜欢讨论技术层面的问题,从昨天到今天看着这个问题在各个平台的扩散和评论,真的有些心累了,有人在夸大其词,有人在恶意揣测,我尽力的在解释,但是人们只愿意相信他们相信的,我叫不醒装睡的人,也叫不醒不想醒的人。我做了所有我能做的和我应该做的,还是希望大家也都可以冷静下来,理性的去讨论分析。

最后,感谢所有关心和安慰我的朋友,谢谢你们。


原文:

大家好,我就是 ([原创] 关于 QQ 读取 Chrome 历史记录的澄清 - 软件逆向 - 看雪论坛 - 安全社区 | 安全招聘 | bbs.pediy.com) 这篇文章的作者 qwqdanchun ,昨天写的文章,今天突然涨了这么多热度,是我没想到的,没想到大家对这个话题这么有兴趣。所以特地把知乎号删了重新注册来答题(别问,问就是有黑历史)。

下午到现在,我一直在刷各个平台对这个事情的帖子和评论,大部分人在关心自己的隐私问题,以及其他平台是否存在的问题,后面我会一一解答。就在写到这里时,看雪浏览量已经破了 20 万,知乎热榜第二,我觉得我还是需要出来说点什么。

首先是道歉,今天的时间,给看雪论坛带来了很大的影响,一个小众的安全论坛因为我的文章影响到了正常的运营,爆满的浏览量挤爆了带宽,多亏了站长及时维护,大家才能看到文章。

然后是关于我个人的一些情况和看法。大家关心隐私安全是应该的,但是我希望大家不要被带歪了节奏,就事论事,不要提升高度。不管是我还是 anhkgg (看雪论坛 - 安全社区 | 安全招聘 | bbs.pediy.com) 等人都没有做到完整的逆向,并完整说出该模块的作用,在没有盖棺定论之前,就下结论是没有必要的。而且我也看到很多人借机起哄,煽风点火,试图将水搅浑或者火上浇油(别的不说知乎这热度就离谱),希望大家冷静看待,等待大佬的进一步分析或者腾讯的解释。至于有些人猜测的删帖和被威胁都是不存在的,看雪因为带宽爆满的原因访问不了都是暂时的,而且已经得到了缓解(此处再次感谢站长),至于我被威胁这事就更离谱了,我从下午就试图寻找腾讯的相关人员询问这件事,到现在都没找到人,腾讯没客服实锤了。

再然后就是偏技术向的部分,先做个总结吧,方便不太懂的同学们看懂,存在此操作的仅有电脑版 QQ 和 TIM,微信和其他版本的 QQ,TIM 我今天和朋友陆续在分析,并没有找到类似操作。会被读取的只是浏览器历史记录,密码书签和 cookies 等是安全的。而浏览记录也不是直接上传,总体来说,大家的隐私还是较为安全的

下面是详细一点的解释,我在逆向时,确实只进行到读取数据库的操作就停下来了,并没有对前后的内容综合考虑,所以 ([原创]QQ 后台读取历史记录?有点冤枉企鹅了!- 软件逆向 - 看雪论坛 - 安全社区 | 安全招聘 | bbs.pediy.com) 这篇文章讲到的也很有道理。而综合考虑 v2ex 评论区 (QQ 正在尝试读取你的浏览记录 - V2EX) 中的图片,只是获取历史记录的 url(也就是网站链接)并与一些购物和证券网站对比,对比成功的会上报。整个操作并不会涉及浏览器之外其他软件,也不会获取浏览记录之外的数据,获取到的数据也没有直接上传服务器。而且,由于有对电脑域的判断,可能确实有可能是失误(不过这么久没有发现确实不应该),是程序员写错了判断条件。

看来下,基本大家的问题都做了解释,最后,感谢大家对我和这篇文章的关注,也希望大家理性思考,等待后续。

知乎用户 腾讯 QQ​ 发表

近日,我们收到外部反馈称 PC QQ 扫描读取浏览器历史记录。对此,QQ 安全团队高度重视并展开调查,发现 PC QQ 存在读取浏览器历史用以判断用户登录安全风险的情况,读取的数据用于在 PC QQ 的本地客户端中判断是否恶意登录。所有相关数据不会上传至云端,不会储存,也不会用于任何其他用途。

具体情况为,该操作为历史上线的一个对抗恶意登录的技术解决方案:因系统识别有不少伪造的 QQ 客户端会恶意访问多个网站作为前期辅助工作,因此在 PC QQ 客户端中加入了检测恶意和异常的访问逻辑,以此作为辅助手段去判断恶意客户端。

对本次事件,我们深表歉意,内部正梳理历史问题并强化用户数据访问规范。目前,我们已经更换了检测恶意和异常请求的技术逻辑去解决上述安全风险问题,并发布全新的 PC QQ 版本。为减少不便,所有受影响的 PC QQ 历史版本将在今天开始进行热更新和推送升级包。同时,手机端 QQ 不存在上述操作,不受影响。

最后,感谢各位技术爱好者的监督,我们也欢迎大家向腾讯安全应急响应中心(腾讯安全应急响应中心 )提交报告。

知乎用户 Predcx 发表

我好活海报都找到辣,这是 2019 年就开始的宏图伟业

影响范围
因为代码是
v3 = (const WCHAR *)CTXStringW::operator wchar_t const *(v32, L"User Data\\Default\\History");
所以所有用 `User Data\\Default\\History` 格式存历史记录的都会被 wuliQQ 审计,包括但不限于各种 chrome 浏览器、onedrive、城通网盘?啥的

-—————————————————————————————————

(2021-01-19_19:35 更新):

关于回复后的后续可以移步:

[如何看待腾讯致歉 QQ 读取浏览器历史:为判断是否恶意登录,已更换技术?这会对用户信息安全带来隐患吗?​www.zhihu.com

](https://www.zhihu.com/question/440079832/answer/1686489015)

-—————————————————————————————————

(2021-01-18_13:15 更新):腾讯、360 均已回复

腾讯:

[如何看待 QQ 扫描读取所有浏览器的历史记录?​www.zhihu.com

](https://www.zhihu.com/question/439768601/answer/1683913941)

360:

[如何看待 QQ 扫描读取所有浏览器的历史记录?​www.zhihu.com

](https://www.zhihu.com/question/439768601/answer/1683922148)

-—————————————————————————————————

按来自 v2ex 的上图所述,此情况可以追溯到 2019 年的 QQ9.1.5 版本。

看分析,

    CTXStringW::CTXStringW((CTXStringW \*)v32, (const struct CTXStringW \*)pszFile);
    sub\_510F5562(v21, pszFile);
    pszDest\[0\] = 0;
    v3 = (const WCHAR \*)CTXStringW::operator wchar\_t const \*(v32, L"User Data\\\\Default\\\\History");
    PathCombineW(pszDest, v3, v17);
    v4 = GetFileAttributesW(pszDest);

直接关键字都能搜到

拉到最开头的函数查看交叉引用

双击,来到上层函数

这个函数很有意思,判断了我的 `DomainName` 是否是 tencent.com或者包含 SNGPERF ,如果二者都不是,那么 `v2==0`,进入到第 38 行的判断,顺利进入本次的亮点函数 `sub_510EFA54()`。

接下来看看亮点函数到底做了啥,再次进入 `sub_510EFA54()`,

注意到亮点函数的 102、103 行,

这是在寻找其感兴趣的值,转成 16 进制:

好像还漏了一行

据别的分析跑出来的 md5,

-—————————————————————————————————

(2021-01-18_13:15 更新) 怎么跑出来的:

[如何看待 QQ 扫描读取所有浏览器的历史记录?​www.zhihu.com

](https://www.zhihu.com/question/439768601/answer/1682928251)

最后一个未知 md5 的跑出:

[如何看待 QQ 扫描读取所有浏览器的历史记录?​www.zhihu.com

](https://www.zhihu.com/question/439768601/answer/1683462622)

-—————————————————————————————————

图片源自:https://sm.ms/image/hxiVvDNsf2lFJ7u

这里在寻找(更新,下图的未知按照上述回答应为淘宝)

只关心电商?

再看数据库文件,

给删了?图片后面的 md5 值来自 `sub_510EFF96()`

据其他 dalao 的后续分析,不会上传你的 url,但是会把你的画像(类别)上传。

还记得最开始分析的时候,和 http://tencent.com 并列的那个 SNGPERF 么,

然后我开始对 SNGPERF 感兴趣了,这个关键词基本搜不到啥

难道是这个 steam 用户?

暂且认为 SNG 是新加坡,那么 PERF。。

评论区有 dalao 指出:“SNGPERF 有可能指的是社交网络事业群下的某一个部门吧,SNG 是以前腾讯的事业群代号,PERF 可能是性能调优?”

原回答:

SNGPERF 没搞懂,希望知情人士透露一下 >_<

关于 火绒进阶,

注意,

可以设置白名单。

关于 chrome,你首先要确定个人资料的位置

在 chrome 地址栏输入

chrome://version/

然后,根据

然后在火绒填上类似

具体规则写法可以参考 https://bbs.huorong.cn/forum-45-1.html

这上面有很多隐私保护相关的规则,但是要注意添加类似系统保护的规则的时候,如果你不是太清楚,很容易把电脑搞崩,不过有个屏蔽广告的还不错。

知乎用户 火绒安全实验室​ 发表

近日,我们收到大量网友询问关于 “QQ 读取浏览器历史记录” 事件的情况。广大网友对此次事件的高度关注,充分说明大家愈发重视对于自身隐私的防护诉求。

我们认为,软件厂商随着商业软件功能、类别愈加细分化,产品和服务对数据的收集、存储、管理和使用,关系到用户的安全、隐私等权益。软件厂商应在涉及相关业务的同时保障用户的相关权益。同时也应对用户所产生的疑问,及时做出积极、客观及真实的回应。火绒也将会持续关注此问题,如果发现进一步的越权行为,火绒会及时采取拦截查杀等方式保护用户合理权益。

大家问的较多的几个问题:

1、腾讯 QQ/Tim 是否会读取浏览器历史记录?

是的。腾讯 QQ/Tim 会获取用户浏览器(Chrome、IE 以及其它 Chromium 内核浏览器)的历史访问记录, 在读取后会根据数据对信息情况进行分类。腾讯 QQ/Tim 会使用 MD5 比较历史记录中的搜索链接,链接包括淘宝、天猫、京东。搜索链接匹配之后,腾讯 QQ/Tim 还会使用 MD5 比较搜索的关键字,如炒股、融资等。

2、我的浏览器记录是否被泄露了?

经分析,目前尚未发现有将原始数据外泄的代码逻辑。

3、腾讯已经移除了相关逻辑并推送新版本?

是的。 经确认,腾讯 QQ /Tim 目前已经在最新版本(QQ 版本号:9.4.2.27666,Tim 版本号:3.3.0.21972)中移除了获取浏览器历史记录的相关代码逻辑。

4、火绒除了自定义规则,还有其他方法防御侵犯隐私行为吗?

火绒安全软件自带的防御功能和默认规则,就可以防御各类侵犯用户隐私的行为,以保护大家的信息安全,还请大家放心使用。

火绒 “高级防护 - 自定义防护” 功能,旨在用户可以根据自身需求,通过自定义 Hips 规则的方式,对电脑中的程序进行控制。所以当火绒自定义规则拦截了某程序时,表明该程序触犯了用户自己设置的规则,但并不意味着该程序一定存在恶意行为。

**注意:**自定义规则的自由度较高,同一条规则,未必适用于所有用户。如果您添加了不适合您终端的规则,可能会导致一些不必要的麻烦:如出现系统或者某些应用程序无法正常工作,频繁出现拦截弹窗等问题。我们建议您对 Windows 系统有一定了解后,再通过添加合适的自定义规则,达到理想的防护效果。

知乎用户 Lion Yang 发表

拿到历史记录之后干了什么?应该是读取了淘宝、天猫和京东的搜索记录,并且通过统一接口上传了特定的搜索关键词吧。

根据有关灵媒的说法,内部算法具体 URL 检查步骤如下:

  1. 确保 URL 是 UTF-16LE 编码的宽字符串
  2. 把整条 URL 转换成大写
  3. 寻找长度为 size 的,MD5(4 个整数)哈希为 A B C D 的子字符串。

MD5 是一种将任意长度内容转换为四个整数的单向函数。由于它找的是一小段字符串的 MD5,所以我们没法恢复出它想要找的真正原文是什么。

总共有四对这样的 (size, A, B, C, D),分别是:

23, 0x1C6389BA, 0xF2FA5666, 0xF2A2E0D3, 0xC892E7BA
34, 0xB829484C, 0x520F7CC3, 0x94EC8A73, 0xD808E79
30, 0xDDA1029, 0x9E67F3BB, 0xB18ACC45, 0x597CF438
21, 0x2564591C, 0x5B11347B, 0x846A0F72, 0xEF704A8

我们只能暴力破解 23 个字符、34 个字符……,天文数字的计算耗时,非常困难。

?吗

不困难,因为 QQ/TIM 要找的东西肯定有机会出现在用户的历史记录里

把自己多年丰富的历史记录全部翻出来主动喂给这个算法就好。

23, 0x1C6389BA, 0xF2FA5666, 0xF2A2E0D3, 0xC892E7BA
://S.TAOBAO.COM/SEARCH?

34, 0xB829484C, 0x520F7CC3, 0x94EC8A73, 0xD808E79
LIST.TMALL.COM/SEARCH\_PRODUCT.HTM?

30, 0xDDA1029, 0x9E67F3BB, 0xB18ACC45, 0x597CF438
(未知)

21, 0x2564591C, 0x5B11347B, 0x846A0F72, 0xEF704A8
SEARCH.JD.COM/SEARCH?

只找到了其中的三个,它在寻找 淘宝、天猫、京东 的历史搜索记录

接下来根据一位幽灵的托梦,我了解到它会截取 URL 后面的 q=… 和 keyword=… 两种搜索参数,它包含了在网页上输入的搜索内容。

针对搜索的内容,它又故技重施,(目前只有)有以下的六条内容匹配。

\# group 1
18, 0x8C2F8C3B, 0x9CA6DB69, 0x663C9537, 0xA0B64B58
7, 0x966DC59E, 0x592F2331, 0x6D2BF021, 0xA1D96C3C

# group 2
18, 0x7FACF63C, 0xBEC2FCB0, 0xBE8836F6, 0x167CC273
18, 0x46B6D8D7, 0x8AA82723, 0xBE19FA24, 0x670E160C

# group 3
18, 0xE235F85E, 0x5C924D20, 0xA61B84AC, 0x4BC792DD
18, 0x79088BEC, 0xF29CC9E8, 0xBF920D9, 0x455AE9ED

在我的浏览记录里,恰好找到了第二和第四条的内容为

7, 0x966DC59E, 0x592F2331, 0x6D2BF021, 0xA1D96C3C
VINTAGE

18, 0x46B6D8D7, 0x8AA82723, 0xBE19FA24, 0x670E160C
%E8%9E%8D%E8%B5%84

%E8%9E%8D%E8%B5%84 这 18 个字是 “融资” 的 URL 里的编码。

结合这个发现,联想到 18 = 3*6,再结合 一个汉字等于 3 个字节 的事实。不难理解,剩下的四个 size 为 18 的未知字符很有可能都同样是汉字双字词

汉字虽多,但是实际上通用规范汉字表常用字集只有 3500 字,两个字就遍历两层即可,百万级别的循环对于电脑来说还是轻松简单的。另外还有有趣的朋友们提供的汉字双字词表,遍历起来就更快了。

\# group 1
18, 0x8C2F8C3B, 0x9CA6DB69, 0x663C9537, 0xA0B64B58   # 古着
7, 0x966DC59E, 0x592F2331, 0x6D2BF021, 0xA1D96C3C    # VINTAGE

# group 2
18, 0x7FACF63C, 0xBEC2FCB0, 0xBE8836F6, 0x167CC273   # 融券
18, 0x46B6D8D7, 0x8AA82723, 0xBE19FA24, 0x670E160C   # 融资

# group 3
18, 0xE235F85E, 0x5C924D20, 0xA61B84AC, 0x4BC792DD   # 炒股
18, 0x79088BEC, 0xF29CC9E8, 0xBF920D9, 0x455AE9ED    # 股票

这就是 QQ/TIM 关心的全部关键词。然后或许可能我觉得会带着 skey=0x800915e 这个编号把搜索到的 group 组号 传上去服务器里。可以确定的是,它没有上传完整 URL,更没有上传所有浏览记录。

根据一位不知名妖怪所说:这份程序实现的成熟度很低,很可能只是一个初步的、实验性的或者说试探性的代码,以上清单也是固定在程序里的,不能下发任务控制 QQ 扫描其他的关键词。腾讯公司_顶多就知道_你是个会到天猫淘宝京东搜索炒股教程、融资技巧、和买二手衣服(?)的用户罢了。

什么叫用户画像啊?(战术后仰)

如是我闻。


20210118 更新

缺失的第三条网址原文,万能的知友找到了:

请移步

@Harrion

的回答: https://www.zhihu.com/question/439768601/answer/1683462622

uland.taobao.com/sem/tbsearch?

知乎用户 苏莉安​ 发表

这个 “澄清” 简直笑死我,老阴阳师了。

原质疑帖说的是 QQ 偷读 Edge 的历史记录,作者经过严谨的技术分析,得到明确结论:

QQ 确实没有只偷读 Edge 的历史记录,而是扫描了你电脑上安装的所有浏览器历史记录,并把访问过的所有网址全都收集起来,具体后续还有什么操作就不得而知了。

反正你说它收集着玩玩我是不信的,只留在本地分析不上传原始数据我是更不信的。

我看完之后首先就打开火绒,添加了保护浏览器数据的自定义规则。

之前保护的是 QQ 微信聊天记录、SSH key、科学上网配置等,看来危机意识还是不够,对所有国产软件都要保持永久性警惕。

补充一个我自己刚截的图,这是 TIM 启动 10 分钟后发生的事情:

为避免删除,将原帖 [原创] 关于 QQ 读取 Chrome 历史记录的澄清 - 软件逆向 - 看雪论坛 - 安全社区 | 安全招聘 | bbs.pediy.com 全文截图备份如下:

知乎用户 辉夜 发表

如何防止所有软件(包括但不限腾讯系、阿里系、百度系)在后台偷偷摸摸读取、修改你的谷歌系浏览器历史记录,至于 edge 与火狐的保护请复制本回答最下面的三行代码(分别为 chrome、edge、火狐)依样画葫芦即可,或者直接使用我在本回答中提供的 json 导入即可,已经全部包括。


下载火绒安全软件,建议搜索 “火绒” 或者点击官网:火绒安全 下载最新版火绒安全软件 5.0。

1. 下载安装后打开火绒安全软件,点击 “防护中心”

2. 点击左下角的 “高级防护”

3. 点击 “自定义防护” 五个字

4. 点击右下角的 “添加规则”

5.“发起程序” 一栏中建议填写默认的 “*” 即为所有软件的访问都先过一遍火绒,然后点击右下角的 “添加防护对象”。

6. 在 “文件规则” 下填写冒号以后的黑体字符:*\User Data\Default\History

在 “保护的动作(必选)” 中勾上 “读取” 与“修改”,接着在 “规则名” 中填写一个自己喜欢的名字,点击“保存”。

7. 检查发起程序与规则是否正确,全部正确后点击右下角的 “保存”。

8. 在 “自定义规则” 中即可找到刚才所添加的规则,此时退出 QQ/TIM 再重新打开,等十几分钟来验证规则是否生效。

9. 规则生效


此时有同学举手提问了:我就是不会怎么办呢?

没问题!首先下载这个文件:浏览器隐私 提取码:2333

接着打开自定义防护,看到这个 “导入” 了吗?点它!

接着选择刚刚下载下来的 json,点击 “打开”

然后选择 “确定” 即可

完成!


此外多赠送几条规则,以下规则一行为一条,复制粘贴即可:

?:\Users\*\AppData\Local\*\Chrome\User Data\Default\*

?:\Users\*\AppData\Local\*\User Data\Default\*

?:\Users\*\AppData\Roaming\Mozilla\Firefox\Profiles\*


此外如果你是 chrome 系或新版 edge 浏览器的话,推荐一个拓展:Ghostery,会自动防止网站追踪

防止广告追踪效果(防止了知乎的百度广告追踪):

知乎用户 Scarlet 发表

感谢评论区提醒,本文改编自腾讯于 2010 年 11 月 3 日发布的《致广大 QQ 用户的一封信》。全文据此虚构,与腾讯公司没有任何关系,本文仅用作反讽用,请勿当作官方声明传播。

致广大 QQ 用户的一封信(2021 版)

亲爱的 QQ 用户:

当您看到这封信的时候,我们刚刚作出了一个非常艰难的决定。在火绒网络技术有限公司停止对 QQ 进行外挂侵犯和恶意诋毁之前,我们决定将在装有火绒软件的电脑上停止运行 QQ 软件。我们深知这样会给您造成一定的不便,我们诚恳地向您致歉。同时也把作出这一决定的原因写在下面,盼望得到您的理解和支持。

一、保障您的 QQ 帐户安全

近期火绒强制推广并胁迫用户安装非法安全功能 “自定义防护”。该软件劫持了 QQ 的安全模块,导致了 QQ 失去相关功能。在火绒软件运行环境下,我们无法保障您的 QQ 帐户安全。火绒控制了整个 QQ 聊天入口,QQ 所有数据,包括登录帐户、密码、好友、 聊天信息都得被火绒搜查完,才送还给 QQ 用户,相当于每个用户自家门口不请自来的“保镖”,每次进门都被“保镖” 强制搜身才能进自己家门。我们被逼迫无奈,只能用这样的方式保护您的 QQ 帐户不被恶意劫持。

二、对没有道德底线的行为说不

火绒屡屡制造 “QQ 侵犯用户隐私” 的谣言,对 QQ 的安全功能进行恶意污蔑。事实上 QQ 安全模块绝没有进行任何用户隐私数据的扫描、监控,更绝对没有上传用户数据。目前我们已经将 QQ 安全模块代码交由第三方机构检测,以证明我们的清白。

更甚的是,火绒作为一家互联网安全公司,竟推出自定义软件,公然站到了 “安全” 的对立面,对其他公司的软件进行劫持和控制。这些都是没有道德底线的行为。

三、抵制违法行为

任何商业行为,无论出于何种目的,都应该在国家法律法规的框架下进行。而火绒竟然采用 “自定义防护” 这种非法手段,破坏腾讯公司的正常运营。

火绒已经在用户电脑桌面上对 QQ 发起了劫持和破坏。我们本可以选择技术对抗,但考虑再三,我们还是决定不能让您的电脑桌面成为 “战场”,而把选择软件的权利交给您。

二十三年来,QQ 有幸能陪伴着您成长;未来日子,我们期待与您继续同行!

腾讯公司

2021 年 1 月 17 日

知乎用户 波罗 发表

工信部举报走一波,方式如下。

我希望高赞的几位答主,拿着手中的证据一起行动

@苏莉安

@Predcx

@Lion Yang

比分析问题更重要的是,真的去行动了,让改变发生!

受到侵害,我们有举报申诉的权利,微小的积累会让世界更美好一点。

appeal-website​yhssglxt.miit.gov.cn

投诉方法 1:工业和信息化部电信用户申诉受理中心

投诉方法 2:互联网信息服务投诉平台

互联网信息服务投诉平台​ts.isc.org.cn

投诉方式 3:

电话:12300、12321、12381

知乎用户 Harrion 发表

QQ 访问用户浏览器历史,读取用户在某些域名下的搜索行为。一共有四个域名,此前已经知道三个:https://www.zhihu.com/question/439768601/answer/1682928251

23, 0x1C6389BA, 0xF2FA5666, 0xF2A2E0D3, 0xC892E7BA
://S.TAOBAO.COM/SEARCH?

34, 0xB829484C, 0x520F7CC3, 0x94EC8A73, 0xD808E79
LIST.TMALL.COM/SEARCH\_PRODUCT.HTM?

30, 0xDDA1029, 0x9E67F3BB, 0xB18ACC45, 0x597CF438
(未知)

21, 0x2564591C, 0x5B11347B, 0x846A0F72, 0xEF704A8
SEARCH.JD.COM/SEARCH?

通过穷举中国电商网站的方法,现在已经知道第四个域名链接的前三十个字符是

uland.taobao.com/sem/tbsearch?

细节见 Jupyter Notebook Viewer 或者 lhprojects/blog

真的感谢 @簞純 的发现!另外感谢 @Lion Yang 的虚构创作。看到两位的回答,我才通宵人工暴力搜索第四个域名的。


给大家改编个苏联笑话

tx:绒弟 ,把你的自定义防护功能删了

火绒:迅哥 ,自定义防护功能只针对流氓软件,我还得吃口饭啊

tx:还是关了吧

火绒:这个功能只针对流浪软件啊

tx:谁是流氓软件我能不知道么 ?

知乎用户 诗与星空​ 发表

QQ 为什么要读取浏览器历史记录?

是因为它比较变态想看看你口味有多重吗?

还是想要窥探你的银行账号?

都不是。

QQ 扫描的目的,是为了获取有 “价值” 的信息。

这里的 “价值”,是字面意思,是指值得投放广告的信息。

比如,你在搜索过某种食物,种草过某种化妆品… …

它都会忠实的搜集起来,然后推送到腾讯的大数据后台,进行分析整理

再根据大数据分析的结果,向你 “精准” 推送它认为你需要的广告

由于腾讯系的规模非常庞大,除了 QQ 外,京东、美团等大家常用的高频购物软件,都是腾讯大家族的成员

它们可能通过付费或者其他合作方式,拿到这些数据

然后就会出现这种可能:你不过是在 PC 端的浏览器搜了一下炸鸡,再打开美团的时候就收到了最近的炸鸡店的推荐… …

最终都体现为腾讯的营收

正是基于这套成熟而强大的广告信息大数据体系,腾讯的营收规模不断扩大

2020 年 11 月 12 日,腾讯发布了 2020 年三季度财报,营收 1254.47 亿元,同比增长 29%,非国际会计准则下,净利润 323.03 亿元,同比增长 32%。

其中,三季度短短三个月,光广告业务营收就达到了 213.5 亿元,比上年同期增加了 30 亿,意味着腾讯每天光广告费收入就高达 2.35 亿元。

知乎用户 lokinko​ 发表

有意思呀有意思~ 腾讯还搁这欺负老实人呢?

腾讯总部:深圳市南山区高新科技园中区一路腾讯大厦

《深圳经济特区数据暂行条例(草案)》12 月 28 日提请深圳市人大常委会会议审议,这是我国首部数据领域的综合性专门立法,明确规定收集、处理涉及隐私的个人数据须得到明示同意。《深圳经济特区数据条例(草案)》将提请审议 – 政务动态​www.sz.gov.cn

《深圳经济特区数据条例(征求意见稿)》第十一条:

自然人对其个人数据依法享有数据权,任何组织或者个人不得侵犯。
自然人可以知悉并决定数据收集、处理者能否收集、处理其个人数据以及收集、处理的目的、方式、范围等内容;除法律、法规另有规定外,自然人有权拒绝数据收集、处理者处理其个人数据及衍生数据。
自然人可以向数据收集、处理者查阅或者复制其个人数据;发现个人数据有错误的,有权提出异议并请求及时采取更正等必要措施。
自然人发现数据收集、处理者违反法律、行政法规的规定或者双方的约定收集、处理其个人数据的,有权请求数据收集、处理者及时删除。

之前写过些对个人隐私保护重要性的看法:

[如何评价 Netflix 纪录片《监视资本主义:智能陷阱》(The Social Dilemma)?​www.zhihu.com

](https://www.zhihu.com/question/420746734/answer/1509842500)[《燃烧吧!天才程序员》综艺大火!如果你是一名科技从业者,你最想用科技改变生活中的哪些事?​www.zhihu.com

](https://www.zhihu.com/question/439300864/answer/1678161259)

最基本的隐私数据包括:身份信息(姓名、地址、身份证号等);网络数据(位置、IP 地址、Cookie 数据、RFID 标签等);医疗保健和遗传数据;生物识别数据(虹膜、指纹等);种族或民族数据;政治观点及性取向等。

作为数据的产生者和拥有者,我们应当有个人隐私数据保护的权利。完全暴露和掠夺我们的隐私有益于企业的商业竞争力,提升商业服务质量,但是我们付出的成本远高于收益。

大数据杀熟已经被明令禁止,但隐私数据的侵犯还仍在进行。

况且…… 收集信息后是否有能力保护这些隐私信息也要打个问号。

目前在数据保护方面根本做不到权责对等,个人隐私数据的泄露就是对诈骗以及违法犯罪最大的助力,可是公司却很少因数据保护不力而受到处罚,作为数据使用方的企业更是只享受权利不承担责任,目前所谓的商业化与隐私保护的双赢,实际上还是商业化赢了两次(摊手)。

[超七千武汉返乡者信息泄露,被短信骚扰谩骂!相关登记方称未披露_南都​www.sohu.com

](https://link.zhihu.com/?target=https%3A//www.sohu.com/a/369093812_161795)[拥有 30 亿人脸数据 AI 公司遭重大数据泄露 包括银行客户名单信息​www.mpaypass.com.cn](https://link.zhihu.com/?target=https%3A//www.mpaypass.com.cn/news/202002/28102814.html)


补充:欧美国家也在 2018 年正式出台个人隐私保护条例。

2018 年 5 月 25 日,欧洲联盟正式实施《通用数据保护条例》(General Data Protection Regulation, GDPR)

https://gdpr-info.eu/​gdpr-info.eu

补充:备受关注的《中华人民共和国个人信息保护法(草案)》提请十三届全国人大常委会第二十二次会议审议。

《中华人民共和国个人信息保护法(草案)》- 法治政府网​fzzfyjy.cupl.edu.cn

补充:官方回应读取浏览器历史记录问题,用于检测恶意和异常的访问逻辑,以此作为辅助手段去判断恶意客户端。

[如何看待 QQ 扫描读取所有浏览器的历史记录?​www.zhihu.com

](https://www.zhihu.com/question/439768601/answer/1683913941)

知乎用户 养猫的哈士奇 发表

最可怕的是,2010 年 360 发布 QQ 隐私保护器,当时 QQ 窥探用户隐私的行为已经被曝光了,结果是 360 败诉。10 年后的今天,QQ 还在窥探用户隐私!这才是最大的悲哀。

当然我对 360 完全没有好感,毕竟伪装操作系统补丁的事情都干得出来,但是恶人还需恶人磨。

[一张图看懂 “3Q 大战” 始末​datanews.caixin.com

](https://link.zhihu.com/?target=http%3A//datanews.caixin.com/2013-11-27/100610402.html)

某匿名人士给我的链接

[如何看待微信 “搜一搜” 功能检测分析聊天记录并提取关键词?​www.zhihu.com

](https://www.zhihu.com/question/421779618)

知乎用户 史宇航​ 发表

虽然这样的事件一般都要听一下两边的说法,但根据目前披露的事实,还是可以做些知识储备。

1,浏览器历史的法律属性

浏览器的记录属于个人信息,根据《个人信息安全规范》(GB/T35273-2020)的附录:

并且,浏览记录还是个人敏感信息:

2,腾讯在隐私政策里说了么

这个要看《QQ 隐私保护指引》

https://ti.qq.com/agreement/qqface.html?appname=mqq_2019​ti.qq.com

目前看到最接近的是:

1.2 当您使用 QQ 服务时,为保障您正常使用我们的服务,维护我们服务的正常运行,改进及优化我们的服务体验以及保障您的帐号安全,我们会收集您的设备型号、操作系统、设备 Mac 地址、唯一设备标识符、应用 ID、登陆 IP 地址、QQ 软件版本号、接入网络的方式、类型和状态、网络质量数据、操作日志、服务日志信息(如您在阅读功能下的浏览历史、服务故障信息等信息)等日志信息,这类信息是为提供服务必须收集的基础信息。此外,我们可能通过标识符及相关技术收集您的信息,为您提供个性化的用户体验、保障服务安全。

感谢今夕何夕 同学的提醒,在《腾讯隐私政策》中,也提到:

  1. 软件信息
    例如,软件的版本号、浏览器类型。为确保操作环境的安全或提供服务所需,我们会收集有关您使用的移动应用和其他软件的信息。https://privacy.qq.com/​privacy.qq.com

不知道还有没有更接近的。腾讯隐私保护平台不知道还有没有更接近的。

Chrome 等浏览器的历史记录与 QQ 的服务日志没有半毛钱关系。

3,适用哪些法律

《刑法》《网络安全法》与《民法典》。

《网络安全法》第 22 条第 3 款:

网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

《民法典》第 1035 条:

 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

《刑法》第 253 条之一:

【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。

也就是说,从刑法、行政法与民法的角度都有问题。如果腾讯的行为属实,可以报案、举报、诉讼并行。

4,问问腾讯

前两天腾讯刚好升级上线 “腾讯隐私保护平台”,我想着也可以问问腾讯。

腾讯隐私保护平台升级上线 打造个人信息保护专区​it.people.com.cn

腾讯回复很快,不到 5 分钟就回复了:


看到腾讯出声明了,更新一下:

5,腾讯的行为算 “收集” 个人信息吗?

终于等到腾讯的回应了:

PC QQ 存在读取浏览器历史用以判断用户登录安全风险的情况,读取的数据用于在 PC QQ 的本地客户端中判断是否恶意登录。所有相关数据不会上传至云端,不会储存,也不会用于任何其他用途。[如何看待 QQ 扫描读取所有浏览器的历史记录?​www.zhihu.com

](https://www.zhihu.com/question/439768601/answer/1683913941)

我不去判断腾讯陈述内容的真实性,单纯就法律性质进行判断。假设腾讯不将数据上传至云端,那么这个行为很可能就不构成 “收集”。因为根据《个人信息安全规范》(GB/T35273-2020)对收集定义的注释:

注 2 如果产品或服务的提供者提供工具供个人信息主体使用,提供者不对个人信息进行访问的,则不属于本标准所称的收集。例如,离线导航软件在终端获取个人信息主体位置信息后,如果不回传至软件提供者,则不属于个人信息主体位置信息的收集。

但需要强调的是,《个人信息安全规范》只是推荐性的标准,不是正式的法律渊源。

6,我们该相信腾讯的声明吗?

这种自说自话在知乎上答题来回应…… 感觉并不是很严肃。这么严重的安全事件,更应该提交一份《QQ 软件个人信息安全影响评估报告》,签字盖章的那种。

在《个人信息保护法(草案)》第 54 条中规定:

个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录:
(一)处理敏感个人信息;……
风险评估的内容应当包括:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人的影响及风险程度;
(三)所采取的安全保护措施是否合法、有效并与风险程度相适应。
风险评估报告和处理情况记录应当至少保存三年。

虽然没有生效,但一份签字盖章的报告总是比几段答题要更加严肃一些,尤其是我还记得就在前几天,某电商平台的知乎账号是由外包公司的临时工控制的。

知乎用户 Tiamo 鸭 发表

好家伙

还好我不用 edge Chrome

我直接用 QQ 浏览器

不需要扫描,QQ 直接知道

知乎用户 TheCjw 发表

补充一个细节,QQ 在执行该扫描之前会通过域信息判断是否处于腾讯的内网,如果是则忽略扫描。

以 Microsoft Store 下载到的 QQ 为例,AppUtil.dll 的信息如下:

  • 文件版本:9.1.6.25368
  • MD5:492CEA12E6DE0F4118528CA5721E11FA
  • SHA256:F6958E3B327246B9FE94441D9F3EC6E62B8427E37B2D07EDB66420F0D7CDF795

执行扫描的函数位于_50F0936C_处,代码如下:

可以看到,如果 Windows 加入了 “tencent.com”域,或者加入的域包含 “SNGPERF” 时,不会进行浏览器历史记录扫描。

知乎用户 永不放弃 发表

违法成本太低了,南山必胜客,你能奈我何

知乎用户 Undefined 发表

偏个题,看微信吧。只看卡巴斯基提供的日志,腾讯系的软件都会遍历用户文件夹,都会得到用户使用的代理配置,QQ 会尝试安装可信证书。我的隐私对他们来说可值钱了。

电脑静置一分钟,后台程序只留腾讯 + 卡巴斯基 + Outlook(无任务)+OneDrive(暂停同步)+Diskeeper 任务管理器截图

Diskeeper 可以帮助减少磁盘的写入量,但是似乎有点问题。

火绒挺好,但是我已经有了卡巴斯基。感觉卡巴斯基能拦截的比火绒更多。

如果将卡巴斯基的应用程序控制关闭掉,卡巴斯基 CPU 使用率能降低 3 个百分点,QQ 和微信愉快地得到数据,他们的 CPU 使用率也能降低 3 个百分点。


使用卡巴斯基安全软件防止软件读取个人信息的步骤:

第一步,打开卡巴斯基,点左下角的隐私保护

第二步,开启它强烈推荐的 “网络摄像头保护” 和“无痕浏览”(也许你能趁机发现有些网站会偷偷打开你的摄像头或者读取历史记录)

第三步,点击左下角的设置。

第四步,在保护里,找到 “应用程序控制”。先在弹出的窗口中选择 “管理资源”,把个人文件夹添加进去。

第五步,点击用户文件,添加重要的文件夹

然后可以添加规则(第一条规则我在用,但是可能没有那么高的普适性)

C:\\Users\\User\\AppData\\Local\\CentBrowser\\\*
?:\\Users\\\*\\AppData\\Local\\\*\\User Data\\\*

?:\\Users\\\*\\AppData\\Local\\\*\\Chrome\\User Data\\\*
?:\\Users\\\*\\AppData\\Roaming\\Mozilla\\Firefox\\\*

然后可以添加 SSH 秘钥、某些软件的文件夹、钱包文件等。添加完成之后点右下角的保存。

然后点击上面那张图的 “管理应用程序”,右上角有搜索,可以搜索腾讯系的软件,找到之后右键单击,选择“限制”—“低限制” 或者“高限制”(怎么限制随你,我选择高限制)。

第七步,设置结束后,右键点击高限制(或者你设置的低限制),选择 “细节和规则”。在弹出的窗口选择 “文件和系统注册表”,该设置权限就设置权限呗。

第八步,找到 “操作系统”—“系统服务”—“Services Parameters” 它的 “创建” 权限设置为允许。这个设置可以避免出现无法登陆 QQ 的尴尬事出现。

第九步,打开卡巴斯基的日志,就可以看到腾讯有多么努力地收集信息了。截屏的这一个画面似乎是在遍历我的文件系统,但是被卡巴斯基拦截了。上面 QQ 和微信试图收集我使用的代理信息和浏览器设置,也被拦截了。

日志里满屏都是 C:\Program Files (x86)\Tencent。如果将卡巴斯基的应用程序控制关闭掉,卡巴斯基 CPU 使用率能降低 3 个百分点,QQ 和微信愉快地得到数据,他们的 CPU 使用率也能降低 3 个百分点。

现在 QQExternal.exe 每秒钟都在运行,试图在 HKLM\SOFTWARE\Microsoft\SystemCertificates\TrustedPublisher 中创建注册表键。在网上搜了一下,它貌似是在给电脑安装可信证书。Adding certificates to the local certificates store and setting local policy using a command line

这,可以说明问题不?


2021 年 1 月 18 日更

你说 QQ 什么时候能创造内存呢,凭空创造出 8G,多舒服,跑 Photoshop 都不会卡了~

知乎用户 匿名用户 发表

转载自 https://www.v2ex…

请各位注意,你们使用逆向工程方法分析腾讯公司 QQ 软件的行为,是对腾讯公司知识产权产品的窃取,已经构成非法获取计算机信息系统数据、非法控制计算机信息系统罪。

另外,你们运用火绒干扰腾讯公司的 QQ 软件,已经导致其不能正常收集用户的浏览记录与文件,构成破坏计算机信息系统罪。火绒博锐(北京)科技有限公司提供了非法侵入、修改、干扰腾讯公司的 QQ 软件正常运行的工具,已经构成提供侵入、非法控制计算机信息系统程序、工具罪。

如果你们尽快自首,交代犯罪事实,积极消除你们对腾讯公司造成的不利影响,还可以争取宽大处理。

(狗头保命


抖个机灵(还是转载的)也有这么多赞是没想到的…… 目前腾讯官方已在这个问题下回应了,且 “评论由机构筛选后公开”

正如高赞第一,分析文章的作者所说,这事在技术角度上可以理解——我先不谈用户能不能理解——但问题是为何要读取我几乎所有浏览器都历史记录?且 QQ 官方的回应是 “… 因系统识别有不少伪造的 QQ 客户端会恶意访问多个网站作为前期辅助工作…”,说的是 QQ 客户端,但你读取的是浏览器记录,这两者是怎么关联起来的?这一点没有说清楚,你觉得我们会相信吗?能够让人信服吗?

知乎用户 钇镉 发表

并没有太意外。不过或许这就是 web QQ 下线的原因?

知乎用户 内涵皮皮段 发表

火 Q 大战

某讯:这招我熟,检测到您的系统安装了火绒,请立即卸载,否则无法运行 Q

知乎用户 红日照小池 发表

V2EX 原帖:

https://www.v2ex.com/t/745030?p=2​www.v2ex.com

有大神说到:

逆向了 qq 的逻辑, 大概干了以下事情:
1. 扫描 IE, chrome, edge 等浏览器的浏览记录
2. 对 url 的部分内容进行 md5, 与 4 个硬编码的 md5 进行比较
3. 如果 md5 比较成功, 将 url 上报至服务器
因为 url 被 md5 了, 不知道 qq 实际想检测什么 url

那么这些 url 到底是什么呢?

另一个大神又出手了:


从上图可以看出,QQ 想知道两点:

  1. 你想买什么商品
  2. 你在炒什么股票

这解释了两个问题:

  1. 为什么你的手机可以知道你最近想买什么商品。(如果你在电脑上搜索了商品,那么在你手机上的 QQ 也知道了)
  2. 为什么庄家炒股总是更容易。

资本是没有底线的。


事实上,对 QQ 的检查,是由数个大神相继完成的。

显然这些大神都是无产阶级的程序员

人民群众的力量果然是无穷的。


接下来介绍如何用沙盘 sandboxie 运行 QQ。

用沙盘运行的好处是可以直接禁止 QQ 访问用户文件夹。如此一来,QQ 就不再能看到你的浏览记录了。

当然,在沙盘运行之前,先设置一下 QQ,把个人文件夹等迁移到用户文件夹之外,比如 D 盘。

然后按照如下教程建立 bat 文件。

[这样用 Sandboxie 把 QQ 管起来​blog.csdn.net

](https://link.zhihu.com/?target=https%3A//blog.csdn.net/benwdm/article/details/84918742)

在正式的沙盘运行前,先设置:资源访问 - 文件访问 - 只写访问,在里面添加自己的用户文件夹

然后运行那个 bat 文件,QQ 程序就访问不到你的用户文件夹了。


sandboxie 本身是开源且免费的,下载地址:

https://github.com/sandboxie-plus/Sandboxie/releases​github.com

当然,速度有点慢。所以也可以使用国内镜像:

链接:https://pan.baidu.com/s/1sqrJRcf-LRB2P-QnNRtTYA

提取码:iiaj


最后我自己录的,如何找到 QQ 读取历史记录的证据:

[

如何找到 QQ 读取用户浏览记录的证据(内有意外发现)

红日照小池的视频

 · 759 播放

](https://www.zhihu.com/zvideo/1334332216475066368)

(意外发现是 QQ 也在读取桌面程序列表)


更新:微信也在读取桌面程序列表……

知乎用户 兢兢 发表

更新一下,关于火绒自定义防护这个,高赞给的挺有用的,大家可以在火绒论坛里再扒一扒别的自定义防护,有爱自取

自定义规则 - 用户规则分享区 - 火绒安全软件

以下正文:

参考高赞的回答在火绒里添加了规则,但是 qq 启动了更新,之后我再尝试发现火绒不会再提示 qq 读取历史记录了,或许是 qq 趁着这次更新赶紧把读取历史记录这个功能去掉了。

唉虽然说暂时击退了腾讯这番操作,但是想必之后会有更加隐秘的读取历史记录的方式。

说不定下次会开发出直接绕过火绒的方式或者直接收购火绒吧。

在添加完规则以后大家都遇到了这个情况:常用的浏览器打不开了,必须先获得火绒的授权才行,一次授权还不行,必须是默认同意。

那么细思极恐一下,假如说打开 qq 或者是从 qq 里面打开邮箱空间这些的,必须要同意 qq 访问浏览器历史记录,否则直接让你打不开,那该如何。

劳资以后卸载 qq 这种气话可以说说,但是又有几个能真的割断,再假如说如果连微信也有这种操作了呢?

还有,大多数人的浏览器都是保存着自己在个别网站的账号和密码的,现在 qq 访问历史记录这功能被扒出来了,那会不会腾讯万幸自己没有被扒出来访问用户账号密码这东西,然后趁着夜色悄悄下架,下一次卷土重来时候会更加强大。

有人会说访问浏览器的密码需要输入电脑登录的 pin 码或密码进行验证,那要是连 pin 都泄露了呢。

md 越想越可怕。

然后呢,各位觉得腾讯会怎么回复,我在 V2EX 上看到了这样的猜测:

1. 压热度,冷处理

2. 声称是程序员个人行为

3. 声称是测试代码,误操作编译到了正式版中

4. 声称是代码写错了,本意只是整合 QQ 浏览器历史记录

5. 声称是为了某功能(比如恶意网址识别?)而收集的,一切数据只保留在本地

表面功夫肯定是要这样做的,关于他们的内心,我想这样揣测一下:

亲们,你们懂不懂什么叫《大 数 据》啊!大数据就是把你们的底裤扒的都不剩,你们隐藏很深的癖好也要为了大数据而奉献出来啊!


刚刚重新登陆 qq 的时候,qq 直接给我发了一个窗口最前的通知,各位有没有遇到的。

可能新的多选一要打响了,当然,不是传统意义上的多选一,而是你电脑里面会不得不多出一个专用浏览器。

知乎用户 sysescool 发表

以下是原回答:

数据隐私目前国家不怎么关心。

不是我无脑吹西方国家。

这方面确实做得不如人家好。


更新:

下面评论的人别搞事情. 我这里举一个简单的例子.

从 Google Play 下载的 MiFit(小米运动)

在注册的时候请各位选择美国的加利福尼亚州.

那么注册过程中会弹出来一个弹窗:

根据美国加州法律, 你有选择自己的数据是否被出售的权利. 你是否同意我们出售你的数据?

换言之, 如果你在中国, 你的数据可能已经被出售了 (当然中国条款我也没看过)

不止是立法执法, 还有公民意识, 全社会都缺少数据隐私的共识.

知乎用户 李派亦 发表

不相信别人,怕被骗,自己试了一下。

开个虚拟机,下载 QQ,Chrome,火绒,添加规则。直接起飞。

知乎用户 匿名用户 发表

那 qq 能不能把我没保存的网址还给我?

圣人模式后删了,找不到了。

知乎用户 吧啦 发表

给腾讯的公关思路:

我司产品出现异常操作,系前员工 xx 所为。该人已被越南劫匪枪杀,望周知,谢谢。

知乎用户 月光博客 发表

10 年前 3Q 大战的时候,就曾经曝光 QQ 聊天软件在未经用户许可的情况下偷窥用户个人隐私文件和数据,10 年过去了,QQ 依旧未经用户许可偷窥用户的个人隐私,不单单窃取 Chrome 的,还有 Chromium、360 极速、360 安全、猎豹以及 2345 等浏览器全都要窃取,把用户的隐私当成腾讯公司赚钱的工具,这实在是太不要脸了。

所谓死猪不怕开水烫,QQ 浏览器因为干了太多的坏事(参见:腾讯都作了哪些恶?),我早就不用了,腾讯却利用自己在聊天软件上的垄断地位,用 QQ 去窃取其他浏览器的用户资料,用来为自己赚钱,这操作要放在国外早被罚的倾家荡产,在国内,这种缺德事干了十年又十年,用户就是拿腾讯没办法。

除了 QQ 之外,微信也不是什么好货(参见:什么样的用户不喜欢微信?),但为了联系朋友又不得不用,这里介绍几个常用的降低风险的方法:

1、尽量在 iOS 上使用微信和 QQ,赋予最少的权限,由于 iOS 的权限管理非常完善,基本可以限制住腾讯在上面进一步作恶。

2、在 PC 上使用的时候,建议使用网页版,无网页版的建议安装英文国际版,国际版因为面向国际用户,腾讯在这方面作恶面临风险较大,估计会有所收敛。

知乎用户 密排六方橘子 发表

既然冒着犯法的风险也要获得用户隐私,到底是犯法成本太低了,还是用户大数据的价值太高了?

李彦宏说中国人愿意用隐私换方便,这句话本来已经很恶心了,然而现实往往更魔幻——

大部分时候你不仅没隐私,而且并没有享受到任何的方便。

知乎用户 用户名符合规范了 发表

太恐怖了,简直无法无天,早该管管了,这帮用户什么问题都敢讨论!还在知乎上讨论,你们恐怕还不知道 知乎的大股东 是谁吧?

知乎用户 蘑菇小象 发表

原来腾讯就是荒坂公司的原型

知乎用户 左七 发表

[Gh0u1L5:如何看待 QQ 扫描读取所有浏览器的历史记录?​www.zhihu.com

](https://www.zhihu.com/answer/1682468108)

我按照这位大佬

@Gh0u1L5

的方法试了下,发现不仅仅是浏览器记录,城通网盘的个人数据也会被读取。

我真的很难想象这是为了什么。

知乎用户 seimo 发表

本人已在个人 GitHub 和自己运营的 bbs 上进行镜像以防原帖被某公司公关删除

mirror-1​github.commirror-2​sakura-bbs.top

知乎用户 360 安全卫士​ 发表

对于用户近期反映的,浏览器个人访问历史被相关软件读取记录这一问题,360 安全卫士团队第一时间分析了技术细节,确认暂无原始数据泄漏风险。

用户可下载最新版本:http://dl.360safe.com/phistory/360safe_setup.exe,自动开启浏览器历史读取保护,无需手动调整防护设置。

360 安全卫士是国民级的安全产品,我们有能力也有责任守护用户信息安全。未来,360 还将持续夯实技术优势,始终倾听用户声音,为用户提供全方位的安全防护。

知乎用户 yang leonier 发表

某团体早在 2008 年之前,他们的技术论坛还叫 qxbbs 的时候就要求 “会员” 要么不使用 “常人” 用的 QQ 等国内聊天软件,需要使用,比如 “讲真相” 的时候要放进虚拟机用,虚拟机要开自动还原。否则出事的概率大大上升。

知乎用户 Tant 发表

前言:在这个 TX 控股的平台上,我不知道我们的回答可以活多久,但我要发出一点蝼蚁的声音。

说起 QQ 啊,你们有没有见过一个小进程,叫 QPCore Service

这玩意儿,3Q 大战的时候弄出来的,美其名曰阻止外挂,实际上……. 嗯,强制开机启动,开机获取管理员权限,administrator 用户不能修改启动状态(没错,直接继承 system)。


rootkit 是一个复合词,由 root 和 kit 两个词组成。root 是用来描述具有计算机最高权限的用户。另一方面,kit 被 Merrian-Webster 定义为工具和实现的集合。因此,rootkit 是一组能获得计算机系统 root 或者管理员权限对计算机进行访问的工具。但在恶意软件领域,我们将 rootkit 定义为一组在恶意软件中获得 root 访问权限、完全控制目标操作系统和其底层硬件的技术编码。通过这种控制,恶意软件能够完成一件对其生存和持久性非常重要的一件事,那就是在系统中隐藏其存在。

rootkit 已经成为恶意软件的同义词,并且用来描述具备 rootkit 能力的恶意软件。严格地说,rootkit 不是恶意软件,而是恶意软件用来发挥自身优势的一种技术。同样的技术也被合法程序应用。唯一的区别是意图。恶意软件用它是带有恶意的目的。


tx:你的电脑不应该你来管,应该让电脑管家管。(滑稽)


说回到这事,获取权限,收集信息送到云端服务器,这个应该直接算犯罪了吧,建议直接刑事立案。

这里我记得知乎上是有法律大佬的文章的,不知道去哪了,难道是没了?

win 用户真的惨,管理员权限(仅仅略低于 root)能被人随意滥用,藏有关键数据的目录被人随意读取。。。你说 B 和 A 的软件在电脑上可以不用,T 这个。。。

你的电脑从来不是你的电脑


想到自己昨天的回答,嗯。

[如何看待推特永久停用特朗普个人账号?​www.zhihu.com

](https://www.zhihu.com/answer/1681178417)

知乎用户 南国小汉子 发表

更新:玩撸啊撸的朋友,卸载了 wegame 的记得来这里删除一下东西:

建议以后卸载腾讯系软件使用 geek: the best FREE uninstaller 应用列表右键选择强制删除,可以卸的干净点。

原答:

一起来加入反监控大军。QQ 为某论坛破解版,移除所有弹窗、屏蔽硬盘扫描、移除后台 Tencentdl.exe 偷渡程序等一系列乱七八糟的东西,安装包较官网的小了 20M 左右。

但我还是被惊到了:

没有失望,低版本号的破解版也可以中。

听说用破解版的可能会被封号,不建议使用。

官网的 QQ 更不建议,如果有在用官方版的,建议每次安装过腾讯系的软件后全盘搜索 Tencentdl.exe 这个程序,禁止其联网:

有段时候发现这个程序偷跑流量,速度还挺快,一搜,果然不止我一个人

我们现在能用的国产聊天工具主流点的,现在还有:

上易信,做不平凡的自己​www.yixin.imYY 语音 8.0 官方下载​www.yy.com米聊,让沟通更高效​www.miliao.com

以后还会不会有,我不知道。

知乎用户 平平无奇王二狗 发表

之前看过一个视频,作者仅仅花了几千块钱就通过暗网获取了他自己的大部分信息,令人瞠目结舌。

信息时代,个人隐私早就是一种廉价玩意儿。在网上冲浪,不知不觉自己的大部分信息就被盗取。随便下一个 App,各种授权点下来自己大概也就透明了。

这些年信息公司员工私自贩卖用户信息的新闻累见不鲜,我们愤慨之余也早就应该明白,在这种情况下,我们哪里来的隐私?

我们破口大骂,我们无能为力。

在享受便利的同时,我们也要被迫接受出卖自己的条款。

这次的事,不过是揭开了资本主义的遮羞布。说实话,看到这个标题,我甚至有点想笑。仅仅就浏览器的历史记录?在我们看不到的地方,更多的信息,诸如电话号码甚至开房记录都已经被整齐记录盗取了。

这些年腾讯垄断了漫画网文等等各个行业,搅得各个地方浑浊不堪,希望国家能管管。

另外提醒诸位,知乎腾讯也有股份,小心说话……

知乎用户 唐晓芙 发表

为今之计,只能效仿元气森林了。

腾讯应该邀请

@簞純

同学入职,高薪聘请,就给一个什么『产品安全隐私保卫官』的 title。

致歉与说明

亲爱的

@簞純

您好!

我是 XXX,在腾讯负责 QQ 产品。特别感谢您的监督和建议(虽然有时候我也很生气),我认为互联网行业需要你这样的人。在看到你的建议后,腾讯很快采取行动,通过所有渠道发出了致歉与说明,并进行了产品安全和隐私方面的调整。

我个人感觉你是一个认真纯粹的人,这点你和腾讯很像。在这里想举个例子,最初的 IM 软件的体积都是 3-5Mb, 当时的拨号上网速度最多不过 54k,而我们的第一个版本才 220KB,其实就是为了用户着想

说回 QQ 这个产品,初心是市面上这么多的即时通讯软件都不够好。大部分软件要么不能在服务端同步好友列表,也不想着做本土的优化,于是就想做这么一款产品,从国人真正的使用场景出发,开发出更多大家喜欢的功能,比如 QQ 秀,比如离线文件。

目前我们已经对产品读取浏览器访问记录的情况作出了改进,同时正在寻找更佳正确的用户画像的方式,进行产品升级,我们认真对待自己的 “孩子”,和你一样认真。

最后我想邀请你担任 QQ 产品安全隐私保卫官(其实我们公司一直有产品安全隐私保卫官这个文化),会将你你现在 QQ 钻的会员权益点亮,希望你日后,能持续不断的给我们提出建议。

如果你愿意接受邀请的话,可以联系我的邮箱 XXX@QQ.com ,期待你的回信。

QQ 产品部 XXX

以上。

知乎用户 雪友 发表

**隐私产品化,多么的可怕。**没有道德约束的商业,会露出它最狰狞的面目。腾讯收集信息到底干了什么呢?我们来假设一下吧?

QQ 会收集你所有访问过的网站,应该也会收集到你的用户名和密码这才叫大数据分析,不,叫大隐私分析。就特想知道,腾讯对那些涉密人员、机关干部、上市公司人员、股东的分析,最后干什么去了呢

要知道它完完全全可以收集注册的身份证哦,持续收集和分析是可以知道用户的单位、住址、电话等等信息的,因为用户会在浏览器填写这些信息的,也就是说在腾讯的数据库里是有这些人的隐私记录的,是不是细思极恐?

想像一下,腾讯知道你的身份证号码后,在腾讯的数据库里,查询输入你的身份证号码,查询你曾经用过的电脑 MAC 地址,然后就腾讯知道了你的常用电脑。然后,再去结合你的搜索和聊天记录,就知道你的一切。。。。比如你和谁接触,比如你最近干什么。

如果你是普通人当然是把你的查询记录卖给商家。这就是为什么,有可能你在度娘搜索完了,上 JD 商城、某宝等等,都是你曾经搜索过东西的推荐。这就是所谓的精准营销吧?如果你自己有些神奇爱好被人家知道。。。。。哈哈哈哈哈,要知道他们的数据库是有记录的呦。

**如果 “你” 又“恰好”是个涉密人员,**后果是什么样的?如果你 “恰好” 是个高级干部呢?这不是危言耸听,因为这其中有巨大的经济价值。。。

比如你是个科研人员,根据你的搜索和聊天就可以知道你的研究方向和进度,比如你是个机关干部,根据你的搜索和聊天就可以知道你的上下级和主要工作内容。。。。这是非常容易做到的事情。比如你是上市公司的核心人员。。。。。等等。

腾讯,可应该不是国企哟。。。。。。

一个以盈利为目的的商业企业,所有能盈利的东西都是产品,对于腾讯而言,大众的隐私已经是腾讯的产品,所以产品的价值最大化就是腾讯的目标!!!

隐私产品化,多么的可怕。没有道德约束的商业,会露出它最狰狞的面目。

那么,大家觉得腾讯会怎么做呢?

关注我

@雪友

帮忙点个赞吧,朋友

知乎用户 波月洞洞主 发表

太恐怖了,(/≧▽≦)/~┴┴

腾讯是不是没有人能收拾你了?

支持国家拆分腾讯!!

知乎用户 默然 发表

早该管管了!(指用户

知乎用户 DBL. 月澰 发表

首先,作为 linux 用户,没有办法复现,因此,一切建立在假设的基础上

只要你相信其他答主的图 / 我群友的图,那么就是接受了这篇回答的(假设的)前提 –qq 调用某个系统函数,操作了你的文件

我对 这一篇回答的 “证据” 不负任何责任,一切都是假设!假设!

假设的证据如下:

首先,据群友、知友的测试,,具体体现为在电脑无操作一段时间后,硬盘突然转起来(物理层面),经排查 qq 的磁盘 io 飙升(资源管理层面),通过 hip / 卡巴斯基 / 火绒等拦截系统函数的调用,发现其读取了 包括但不限于 chromius 系浏览器的文件

我想说

有人说,瓜田李下,我们只能猜测批评,只有抓到将你的文件发送到服务器的证据,才能寻求赔偿。

不!我们不能被下思维定势的套了,

有人进了你家,坐了一下沙发,走了。你需要他偷东西的证据才能报警马?不需要!非法进你家,这一点就够了。证明他没偷东西的责任在他不在你!回到数据安全中,我们纠结的不是他发没发到服务器,我们纠结的是,它凭什么操作我的个人数据?无论是读、写,都是不被允许的。证明他没发,没保存?除非你开源、开放服务器给第三方审查,否则 我! 不 !信 !

我的数据永远永远是我的,你要读,请问过我,在我的授权下读取,在后台读取任何授权外的文件,都是对我的冒犯。

那么 假设 他读取了,有什么后果呢?

最严重的就是你储存在浏览器的密码会泄露(也许你电脑加密了,但是甚至有开源软件能读取, 某科技公司怎么不行呢?

其次是你的 cookies,cookies 被广泛用于储存登陆凭据,若 cookies 被读取,那么在他导入你的 cookies 后,你勾选了保存密码的网页,就能被登陆

还有一点,就是分析你的浏览记录,给你精准推送

当然,被精准推送的原因不止这一个,包括但不限于 国产输入法、国产换壳浏览器、杂牌手机、各种要求很多权限的软件

希望大家有数据主权意识,注重对自己的隐私保护

如:没有必要的权限毫不犹豫地关掉!(要是不给权限不给用,那请向有关部门投诉,解决前尽量不安装)

如:搭建私有 dns,开启过滤器,将某些分析个人数据的解析请求拒绝掉

如:

使用国外的浏览器,chrome、edge 等,这里有免费的 DoH,DNT 等功能,能很好的保障你的数据安全,使用非营利输入法。

要禁用部分 cookies 权限,减少广告联盟记录你的隐私,互相共享。

在现阶段体系下,对个人隐私保护力度不足,没有规定切实有效的惩治办法,同时人们对主权意识重视度偏低,经过这件事,希望有关部门能加强立法,严格惩戒(包括但不限于禁止上市等等),对于个人,在外在保护不够的情况下,应该加强数据主权意识,不盲目授权,学习信息相关知识,保护好自己在互联网上应有的权利!

知乎用户 薇亦柔止 发表

图片来源 Twitter

说句可能有些政治不正确的话,某些流氓大厂,真就是仗着自己助纣为虐久了,所以耍流氓也能耍得心安理得。这次 QQ 被发现盗取浏览器浏览记录,美国是有理由制裁甚至彻底封了腾讯的,而如果这能给国内某些流氓大厂一个教训,那么我举双手赞成美国制裁腾讯。

知乎用户 Luv Letter​ 发表

不仅仅是 QQ, 还有各类 win 平台游戏的反作弊系统, 凡是非 msi/windows store 安装的程序, 基本上都不受到沙盒限制. 安全性只能祈求作者或者开发商有良心.

所以 Windows 平台有这种问题早就见怪不怪了, 毕竟多数人都是下载 .exe 的安装包, 然后安装过程中还要提供管理员权限, 恐怕至今在很多人眼里, UAC 和实施保护都是麻烦. 要知道, 要不是因为这两项机制在, 否则每天都能见到被勒索病毒加密文件的受害者.

而在 macOS 上, 借鉴了 iOS 的设计, 最近每个版本都带来了权限系统的改进, 比如分离了「全盘访问」和「目录访问」的权限设计. 以及摄像头、麦克风、键盘输入等权限都做了较为细致的控制.

简单说, 只要你从 MAS 下载 QQ / 微信, 本身 Mac 平台这两个 App 就相对比较干净, 更重要的是默认受到系统沙盒控制, 以及收到 MAS 审查规则的限制, 意味着安全性有着极大的保障, 而且比起 windows 平台从 im.qq.com 下载要方便.

至于 UWP 早就死了, 前两年甚至还有 Win Store 变成 C++ 版的闹剧..

[Luv Letter:M1 MacBook 选购指南 (Pro Air 选择 / 配置 / 渠道 / 配件)​zhuanlan.zhihu.com

](https://zhuanlan.zhihu.com/p/305601019)

知乎用户 渔人 发表

我对 “免费的就是最贵的” 又有了更深的理解。

知乎用户 匿名用户 发表

360“隐私保护器” 真相 2010 年 3q 大战时期 360 推出了 360 隐私保护器

使用后将会检测到大量 qq 读取隐私的行为

腾讯对此进行回复

https://tech.qq.com/a/20100930/000369.htm​tech.qq.com[360 劫持 QQ 用户恶性事件_腾讯科技_腾讯网​tech.qq.com

](https://link.zhihu.com/?target=https%3A//tech.qq.com/zt2010/360defameqq/)

第一个链接请在 pc 打开 手机 404

知乎用户 王东来 发表

没有办法,腾讯从来就是这么无耻。

知乎用户 的了哈 发表

之前的 3q 大战,

360 公司条条在理,证据确凿,全天下都看着。

于是腾讯无罪。

XXXXXXX!

有钱就可以为所欲为. jpg

在万恶的美国,读取隐私已经死了一条命了,再来个滥用市场支配地位二选一,怕不是五条命都不够。

理论上,我们现在应该在用子弹 app,或者米聊,或者马桶。总之,现在的腾讯应该已经破产了。可现实却完全相反。是我们算错了,还是呵呵呵呵?

建议 360 再拿出扣扣保镖来。这次再来个 2 选 1?呵呵呵

知乎用户 sjinny sun 发表

第一阶段:转移视线

第二阶段:否认

第三阶段:承认存在,但否认其不合理性

第四阶段:承认存在,承认其不合理性,但强调是个人行为,公司不知情、公司无责任

第五阶段:承认存在、不合理性,承认知情,但强调这是无奈之举,公司也是受害者

第六阶段:老子就是做了,有本事你来告我呀

知乎用户 S0UVEN1R 发表

这题我做过,快进到扣扣保镖。

知乎用户 Gh0u1L5 发表

服了…… 先讲一下无专业知识的普通用户怎么给自己做防护吧。

首先按下键盘上的 “Windows 键 + R”,输入 notepad,打开一个记事本,然后把以下规则代码复制粘贴进去。

{
    "ver":"5.0",
    "tag":"hipsuser",
    "data":\[
        {
            "id":1,
            "power":1,
            "name":"Chromium-Based Protection",
            "procname":"\*",
            "treatment":1,
            "policies":\[
                {
                    "montype":1,
                    "action\_type":6,
                    "res\_path":"?:\\\\Users\\\\\*\\\\AppData\\\\Local\\\\\*\\\\User Data\\\\Default\\\\\*"
                }
            \]
        },
        {
            "id":2,
            "power":1,
            "name":"Firefox Protection",
            "procname":"\*",
            "treatment":1,
            "policies":\[
                {
                    "montype":1,
                    "action\_type":6,
                    "res\_path":"?:\\\\Users\\\\\*\\\\AppData\\\\Roaming\\\\Mozilla\\\\Firefox\\\\Profiles\\\\\*"
                }
            \]
        },
        {
            "id":3,
            "power":1,
            "name":"IE Protection",
            "procname":"\*",
            "treatment":1,
            "policies":\[
                {
                    "montype":1,
                    "action\_type":6,
                    "res\_path":"?:\\\\Users\\\\\*\\\\AppData\\\\Local\\\\Packages\\\\Microsoft.MicrosoftEdge\_\*\\\\AC\\\\MicrosoftEdge\\\\User\\\\Default\\\\\*"
                },
                {
                    "montype":1,
                    "action\_type":6,
                    "res\_path":"?:\\\\Users\\\\\*\\\\AppData\\\\Local\\\\Microsoft\\\\Windows\\\\WebCache\\\\\*"
                },
                {
                    "montype":1,
                    "action\_type":6,
                    "res\_path":"?:\\\\Users\\\\\*\\\\AppData\\\\Local\\\\Microsoft\\\\Windows\\\\History\\\\\*"
                },
                {
                    "montype":1,
                    "action\_type":6,
                    "res\_path":"?:\\\\Users\\\\\*\\\\AppData\\\\Local\\\\Microsoft\\\\Internet Explorer\\\\Recovery\\\\\*"
                }
            \]
        }
    \]
}

把文件保存到桌面上,命名为 “隐私防护. json”。

然后下载安装一个火绒安全软件(https://down5.huorong.cn/sysdiag-full-5.0.56.2-20210116.exe)。

安装好后,在系统托盘里找到一个橙色的小盾牌,右键点击一下,依次找到 “软件设置→高级防护→自定义防护”。

在自定义防护页面的下方有一排按钮,点击 “导入”,选中刚才保存的文件点击打开,完事大吉。

我这段规则写得比较泛用,不仅是 QQ/TIM,接下来再有任何程序想要读取你浏览器的隐私数据,火绒都会给你弹窗提示。注意,配置好规则之后,浏览器自己第一次访问隐私也会被拦,弹窗的时候让火绒 “记住本次操作” 然后允许即可。

先写这些吧,再有什么想说的等吃完午饭再说。


16:10 更新:有很多朋友在评论区问旧版 Edge / IE 浏览器 / 各种国产双内核浏览器能不能防护。我四处找了找,在 Foxton Forensics 找到了一份比较全的 IE / Edge 浏览器的缓存格式清单,更新了一下规则文件。

但是各种国产双内核浏览器的种类就太繁多了,我自己一一下载测试显然工作量太大,希望有相应浏览器的用户,如果看到我的规则有覆盖不到的目录,可以在评论区分享一下,感恩。

知乎用户 八牛范二 发表

学习强国这个软件可以加好友可以聊天啊

你们为什么不下载。

这软件有电脑版本的么?

知乎用户 鼠辈 发表

法庭不会认 360 的截图做证据,不是不认截图,是不认 360,你对电脑屏幕录像也没用。

最后,并没偷隐私的惩罚性赔偿。

你得确实有损失,再以损失的金额赔偿。

所以腾讯偷隐私稳赚不亏,你很亏。

吴声威诉爱奇艺,赔的钱 1500 是公证费(不能计入赔偿所得),对爱奇艺会员的赔偿是顺延 15 天。

吴声威不公证证据,用录像来拍摄用户协议,也一样。没公证费也就没这 1500,只能捞到 15 天会员。

只因为没造成损失,所以也没赔钱。

腾讯偷隐私同理,打官司,你只能名义胜利,实际是输的,不会赔你钱。

谁都知道腾讯偷隐私是错的,现在只用 360 的提示做证据,是立不住的。

假设你很懂技术,有个高端路由器,拦截了腾讯扫描浏览器之后上传的内容,证实了腾讯偷隐私。

结局也只是名义胜利,法院不会判给你赔偿金,因为你说不出造成啥损失,法律上也没偷隐私的惩罚性赔偿。

知乎用户 kancollect 发表

坐等腾讯 PY 知乎,然后全网控评

知乎用户 ZzwzZ 发表

别听 QQ 在那胡扯,你们 QQ 在用户 url-md5 匹配的情况下,上传相应分组 ID 是不争的事实,而且闭口不提淘宝天猫京东那几个 URL 的作用,判断恶意登陆靠几个电商的 URL 去判断?你通过 URL 判断恶意登陆难道没有黑名单策略?论坛里各用户上传的截图都明明白白,建议广大用户第一时间卸载 x86 腾讯系全家桶。

论坛里各种用户更是检索了以 History 为关键字,最早可以追溯到 9.1.5 版本(2019 年 6 月),此种行为至少已经进行一年半了,敢情 2019 年 6 月之前不存在恶意登陆行为呗?

附上论坛网址:

https://www.v2ex.com/t/745030?p=5​www.v2ex.com

最后,十年前就有人锤过你们,附上石锤网址:

[注意!!QQ 正在翻你的硬盘偷窥你的隐私 | iPcfun.com​www.ipcfun.com

](https://link.zhihu.com/?target=https%3A//www.ipcfun.com/qq-invasion-of-privacy.html)

卸载 TX 全家桶,从今天做起

知乎用户 喧嚣的风 发表

很多人都忘了当年 tp 全盘扫描那档子事。现在扫个浏览历史已经很给面子。狗头保命。

原神去年这样干在国外被冲烂了,结果米忽悠不得不发文道歉。讲道理,如果国外厂商也能随意扫描磁盘,那么防外挂还真不是件难事。

知乎用户 刘先生 发表

腾讯收集的这么多网址都去哪里了呢?原来是用 MD5 把关键词的内容哈希之后,结合长度做匹配,然后把用户的浏览记录报上去。


有三四名群友献祭了他们的六十万浏览记录,维基中文百科词典已跑完,只剩下一个没有解出来。

tasks = {
# URL 匹配
# (23, 0x1C6389BA, 0xF2FA5666, 0xF2A2E0D3, 0xC892E7BA): b’’, # ://http://S.TAOBAO.COM/SEARCH?
# (34, 0xB829484C, 0x520F7CC3, 0x94EC8A73, 0xD808E79): b’’, # http://LIST.TMALL.COM/SEARCH_PRODUCT.HTM?
(30, 0xDDA1029, 0x9E67F3BB, 0xB18ACC45, 0x597CF438): b’’, #
# (21, 0x2564591C, 0x5B11347B, 0x846A0F72, 0xEF704A8): b’’, # http://SEARCH.JD.COM/SEARCH?
# 搜索关键词匹配
# group 1
# (18, 0x8C2F8C3B, 0x9CA6DB69, 0x663C9537, 0xA0B64B58): b’’, # 古着
# (7, 0x966DC59E, 0x592F2331, 0x6D2BF021, 0xA1D96C3C): b’’, # VINTAGE
# group 2
# (18, 0x7FACF63C, 0xBEC2FCB0, 0xBE8836F6, 0x167CC273): b’’, # 融券
# (18, 0x46B6D8D7, 0x8AA82723, 0xBE19FA24, 0x670E160C): b’’, # 融资
# group 3
# (18, 0xE235F85E, 0x5C924D20, 0xA61B84AC, 0x4BC792DD): b’’, # 炒股
# (18, 0x79088BEC, 0xF29CC9E8, 0xBF920D9, 0x455AE9ED): b’’, # 股票
}

不弄了,还剩一个链接可能太过于阴间反查不到。

上报时不会把 URL 上传,只会把用户属于哪一个组上传。HTTP 上报的时候参数 skey=0x800915e

初始化这些 MD5 关键词的时候把组号填了进去,上报时只有一个整数

最后顺带一提,IE 历史记录也是读的。FindFirstUrlCacheEntryW 函数找找看。

Mac 的 chrome 历史记录在 /Users/xxx/Library/Application Support/Google/Chrome/Default/History,直接用 sqlite 可以读出来,不知道 qq 能不能这么干

备用存档 https://web.archive.org/web/https://bbs.pediy.com/thread-265359.htm

知乎用户 Orangal 橙子果酱 发表

当 QQ 要求在 360 和它之间二选一的时候,我没有出声,因为我用瑞星杀毒。

当 QQ 捆绑安装电脑管家等一系列软件的时候,我没有出声,因为这都是小场面。

当 QQ 扫描 Chromium 内核的浏览器历史记录的时候,我没有出声,因为我在用火狐。

最后,那只企鹅用铜头皮带将屏幕一切两半,狠狠打在我脸上的时候……

我这才发现,我没穿衣服,被企鹅用铜头皮带殴打的样子是多么可笑。

知乎用户 小白 bgq 发表

建议大家看到的都去

[违法和不良信息举报中心​www.12377.cn

](https://link.zhihu.com/?target=http%3A//www.12377.cn)

举报一波

选择政治类 - 危害国家安全、泄露国家秘密(国家机密机构人员用 QQ 或者 tim 浏览机密都被偷了),也可以选择侵权类 - 个人隐私泄露

https://tim.qq.com/

https://im.qq.com/pcqq/

然后复制这两个网址填入,文件可以将题目中那个 “澄清” 的网页打印成 PDF(前三页)上传

举报

知乎用户 见吾见 发表

以下内容为一份虚构的历史声明,没有任何实际含义,请不要对号入座

德国纳粹
已认证的官方帐号

近日,我们收到外部反馈称纳粹监视犹太人。对此,纳粹党卫队高度重视并展开调查,发现德国纳粹党存在监视犹太人用以判断犹太人安全风险的情况,读取的数据用于在奥斯维辛的秘密地下室中判断是否恶意伤害犹太人。所有相关数据不会上交至人民法庭,不会存档,也不会用于任何其他用途。
具体情况为,该操作为历史上采取的一个对抗恶意伤害犹太人的行政解决方案:因系统识别有不少伪装的纳粹党会恶意访问犹太人的家里作为前期辅助工作,因此在纳粹党卫军中加入了检测恶意和异常的巡逻程序,以此作为辅助手段去判断恶意伪纳粹。
对本次事件,我们深表歉意,内部正梳理历史问题并强化居民住宅访问规范。目前,我们已经更换了检测恶意和异常请求的行政手续去解决上述安全风险问题,并发布全新的纳粹党卫队章章程。为减少不便,所有受影响的纳粹党卫队将在今天开始进行统一训练和学习新章程。同时,德意志国防军不存在上述章程,不受影响。
最后,感谢各位热心市民的监督,我们也欢迎大家向德国总参谋部(德国总参谋部)提交报告。

知乎用户 Akane 发表

近期 “QQ 扫描读取所有浏览器的历史记录” 事件,通过分析,发现存在此操作的仅限于电脑版 QQ 和 TIM,而微信和其他版本的 QQ、TIM 中并没有找到类似操作。被读取的信息基本针对浏览器历史记录(Chrome、Chromium、360 极速、360 安全、猎豹、2345 等),但由于并没有直接上传到云端,且读取信息不包括密码、书签和 cookies 等,所以总体来说对用户的隐私安全影响没有那么大。

为什么要读取浏览器历史记录?根据腾讯官方的解释,其目的是出于安全防护——通过这一操作可以检测恶意登录。目的是好的,但该行为还是存在槽点,至少不应该在被用户发现后才出来解释,反倒容易让人过分解读。

近期针对这一事件的争论非常之多,其实原作者也已经出来说话了,希望大家不要被带歪了节奏,就事论事,不要提升到不必要的高度。无论如何,作为一起网络安全事件,不应该以这种形式出圈。

知乎用户 匿名用户 发表

刚出炉的,新鲜

好家伙,直接给我自动更新了。

我换了台电脑,哦原来是补丁啊,可真及时啊,

更新描述里是不是少了一条啊,暂时关闭 QQ 扫描浏览器历史记录功能啊

知乎用户 hhhh233 发表

普通人非法律专业的大佬,除了振臂一呼和转发这类文章,没别的办法了。毕竟法律一知半解,用户协议都点了同意,又没钱没时间,能搞得过南山必胜客?不可能的,当年 360 都没搞过。搞过了又能怎么样,不痛不痒罚个几十万,王者荣耀出个皮肤,几个小时就回血了。

所以啊,腾讯等一些公司在某些方面就是恶心,十分 tmd 恶心。关键是还得捏着鼻子用。

那普通人对抗的方法有几个:

1. 沙盒。这个有官方的,也有第三方的。第三方 sandboxie,免费又开源。

2. 虚拟机,反正我不咋信任的、会用到破解程序的一些工具,都放虚拟机了。微软的 hyperv 没用过,这个功能我甚至都没点开过。我一般 virtualbox,这个优点是免费,缺点是性能稍微差点儿。

3. 其他用户提到了火绒,我没用过不评价。我一般都是 windows defender 或者裸奔。

4. 创建一个新用户,专门用来运行应用程序。或者不嫌麻烦对每个不信任的应用程序创建一个用户。然后把不想对这些用户开放权限的目录,读写权限关掉。

然后按住 shift,右键应用程序或者快捷方式,有 “以其他用户身份运行”,输入对应的用户名密码就行。或者修改一下快捷方式,用 runas 这个命令运行应用。理论上,不特意去授权的话,一个普通用户是没有其他用户的用户文件夹的任何权限的。

比如,把迅雷的快捷方式的目标改成:

C:\Windows\System32\runas.exe /savecred /user:localapp “C:\Program Files (x86)\Thunder Network\Thunder\Program\ThunderStart.exe”

这样,运行迅雷的用户就是新创建的用户。

至于如何区分值得信任和不值得信任的,各领域的国内软件的非企业版本一般都可以放到 “不值得信任” 这个类别。

知乎用户 匿名用户 发表

十年了,《计算机世界》那篇文章居然没有一丝过气的感觉

知乎用户 匿名用户 发表

怎么看待,俩字: 恶心。

噢,还有,今天这问题刚上热榜,看雪就被打了,截止到现在还访问不了。

TX 真有你的。

知乎用户 梦云残雪 发表

自从我发现国内 QQ 有个 q 盾的玩意儿在后台进程无法访问并禁止,删掉后 QQ 不能用

我就下载了国际版 QQ,真 tm 干净,老笔记本了,后台挂 QQ 还能打游戏~


说一下,是翻出去下的

想翻的自己找资源,被警告过了 QAQ

知乎用户 罪岁 发表

QQ:不是我针对你 chrome,在座的各位都是垃圾,我读历史记录咋了?有本事你别用啊,给爷爪巴

知乎用户 HackettHsu 发表

现在是 2021-01-18 15:20,新鲜出炉。

都不需要逆向啥的。

@腾讯 QQ

麻烦出来挨打,读取我百度拼音设置、皮肤、账号是干什么用?嗯?

(说明一下,刚刚新建的策略,新建前清除火绒日志,新建后再登的 QQ,只要在 QQ 中一输入内容,立刻卡死,然后马上出现 110 条日志。除了最上面三个是日志上报程序以外,其他的都是读取我百度拼音的操作。半分钟一百多个,真够丧心病狂的。)

在贵司回答下面评论,还开启了审核,还不给过,有点意思啊。

但你们做的这事也太没意思了吧。

麻烦大家送我上去谢谢了。


建议各位在腾讯系产品中只使用 Win10 自带的输入法。


另,天下苦秦久也,

@火绒安全实验室

方便出个隐私的自定义规则吗?在这先谢过了。

知乎用户 runner time 发表

厉害了我的 Q!

苹果系统(包括手机、平板和 Mac)有个很多人知道的事情:当你把语言和地区设置为中国后,苹果会默认把浏览数据发送给腾讯……

现在腾讯的爪子伸得更长了……

安全建议:

1、使用 UWP 版本的腾讯软件

2、只在手机、平板上使用腾讯软件

3、开虚拟机使用腾讯软件

4、专门一台电脑或者手机、平板使用腾讯软件

5、有网页版尽量使用网页版

知乎用户 年轻人啊不要熬夜 发表

一人血书求红衣教主再出马!

@周鸿祎

如果 QQ 没有掀用户裙子,怎么知道用户穿了 360 的安全裤?

图来源:Twitter@FanKetchup

知乎用户 lbc 喵 发表

2021-01-18 更新

昨晚 qq 和 tim 都发布了紧急更新。

新版 qq 和 tim 取消了读取用户浏览器历史记录的行为。最后一版会读取浏览器历史记录的版本号为 tim3.3.0.21970

新版不会读取浏览器历史记录的版本号 tim3.3.0.21972,大家尽快更新并保留安装包。

另一:附上 Vivaldi 浏览器和新版 Chromium 内核 Edge 浏览器历史记录被 tim 读取的拦截记录截图

=== 分割线 === 分割线 === 分割线 === 分割线 === 分割线 === 分割线 === 分割线 === 分割线 ===

以下原文

简单测试了一下,qq 只扫描了 C:\Users\【用户名】\AppData\Local \ 这个文件夹里面的历史记录文件。因此目前来说有几个浏览器没有被 qq 读取到,一个是 Firefox、另一个是 Opera、还有各种 portable 版、绿色版浏览器。

Firefox 火狐历史记录文件位置:C:\Users\【用户名】\AppData\Roaming\Mozilla\Firefox\Profiles\【随机名称】\places.sqlite;没有被 qq 读取到。
Opera 浏览器历史记录文件位置:C:\Users\【用户名】\AppData\Roaming\Opera Software\Opera Stable\History,和其他 chromium 系浏览器都不太一样,逃过一劫。
各种 portable 版、绿色版浏览器只要没有放到 C:\Users\【用户名】\AppData\Local \ 这个文件夹里面也不会被读取历史记录。

知乎用户 Xie Harry 发表

11 年后,在虚拟机里安装 QQ。

知乎用户 解云 发表

想起来自从 360 和 QQ 掐架, QQ 弹窗要求我卸载 360 而打断了我 DOTA 小鱼人的疯狂杀戮至今,我的电脑都再也没有装过 QQ,因此 QQ 号也直接放弃了。

这么多年过去了,这个企业似乎丝毫没有在尊重用户方面获得成长。

QQ 的这种行为就像李彦宏曾说过的中国用户愿意用隐私来换取便利一样,让我觉得十分的可耻。

当市场缺乏相应的规章制度的时候,资本就会不断的试探用户的下限,不断的侵犯用户的权益来获取信息,占领市场。

在这种未授权而访问用户信息行为已发生的情况下,任何解释都十分苍白,无论你做是不做,做什么,怎么想,都无法改变已发生的事实。

互联网资本市场需要更多的规范,需要更多惩罚性赔款,也需要更多的监管。

知乎用户 李燃末 发表

在南山法院未判决用户败诉之前,我对腾讯窥探用户隐私的行为持怀疑态度。

你们不亮出败诉判决书,我还是挺腾讯。

咱们不懂技术的人,只能选择相信法院。

知乎用户 maomaobear​ 发表

这个东西,在国内,你真是躲无可躲。

qq 其实现在用的少了,但是微信你总得用吧。

淘宝,支付宝你得用吧。

百度你得用吧

知乎你不是开着吗?

你为什么一开花钱的软件,给你推荐的就是你近期搜索过,甚至谈论过的?

你的用户画像各个地方比你自己都清楚。

除非你退回原始时代,用现金,不连接互联网,不与其他人互联网沟通。

否则隐私根本无法保护。

玩单机版本还可以安全防护,有社交媒体,你自己搞个加密通讯,没人用啊。

只有政府立法,公平执法,检查公司软件的源代码,发现违法重罚(譬如罚腾讯公司 10 万亿美元,交不起罚款,就把腾讯公司没收,变成国企)

否则,任何公司都会优先挣钱,而不会管什么隐私。

知乎用户 Hack3rHan​ 发表

我一直清楚的记得,我使用的邮件服务提供商官网的一句话:Privacy is a fundamental human right. ( 隐私权是一项基本人权。)

永远不要把你的隐私寄托在别人的良心上,有些事情我们无法改变,但我们还能挣扎一下。

降低你的信任,对国产软件设防,选压得住软件的操作系统就选,扔进虚拟机,买台云服务器专门放国产软件,安卓的存储空间重定向、Magisk 能安排就安排,有开源方案尽量选用,没有开源方案优先国外,口碑烂的东西能规避使用的尽量规避,能不给的权限尽量不给。

这个世界不一定会好,请自己保护好自己。另外国内国外软件的事情不想抬杠,我会直接控评。

知乎用户 闪电苦力蛇 发表

十分钟前看到热榜设置了规则之后重启了 Tim,十分钟后鱼上钩了

妙啊

知乎用户 不自由而无用的人 发表

大数据 = 得到用户的浏览数据

云计算 = 把得到的数据传到自家云端分析

人工智能 = 根据对用户数据分析出来的信息推销产品 / 服务 & 如果不是自家的目标客户就打包卖给第三方向下循环到骚扰电话 / 诈骗短信……

麻了,以后本机只安装可完全信赖软件,国产的这种软件给我滚去虚拟机里面呆着吧。

老毛子精简过的 win7 真香。

不过还有种应对办法,直接摆烂,首先他们不管是怎么收集数据,最终都会落实到给你推送信息给你的家人推送信息上面,所以在此基础上构建出反选逻辑就好了。

比如除了通讯录里面认识的电话通通不接,骚扰电话碰见手机号码就统一拉黑并标记他骚扰诈骗啥的(有 hz 鸡的可以抽空报复一下),座机骚扰电话直接规则拉黑一个区域(我就把西安、咸阳、临沂、合肥的座机号全屏蔽了),除了面对面联系过的人微信 QQ 通通不加,提前教育好父母除了官方大医院警察局的警察医生谁也别信……

购物软件安装后第一件事直接设置成后台禁止运行和推送消息,想到买啥再打开去买而不是让他推送诱导你……

在中国,除非是专业的受过训练的人,否则很难有人能做到在这种不安全的信息系统里面达成安全环境了。所以摆烂技能是每个人都需要去试着接受的。

但这套摆烂技能,需要辅以一定的线下生活经验,比如说买菜买肉甚至杀鸡杀鱼并学会讲价,个人建议当代的年轻人一定要自我完成这个线下生存技能的加点。

从前有片海,海里生存者一群鱼,后来天上下了硫酸雨污染了这片海,有的鱼进化出脚上了岸,有的鱼进化出新的皮肤跟黏膜系统抵抗酸水。

知乎用户 DonaldKnowledge 发表

好家伙!什么数据都想偷!只要是 User Data 都有可能中招!

// ========

更新了,看来这些国产软件一个也不能信,可能之后还会发现更多。

它骗了你一次,就会骗你第二次!

知乎用户 匿名用户 发表

[为什么 QQ 天天让我做问卷调查又不给我送 Q 币?​www.zhihu.com

](https://www.zhihu.com/question/336326885)

QQ 还有一个骚操作, 不比拼多多病毒传销文明多少, 基本上是白嫖用户. (你怎么知道是白嫖, 别说了, 我自从填了一次, 每次启动都给我弹窗)

如果你不点击, 它过一会就会自动消失.

虽然和题目中的扫描相比差远了, 但是也是个小骗局, 希望大家不要上当.

知乎用户 刘海鑫 发表

[如何看待 QQ 扫描读取所有浏览器的历史记录?​www.zhihu.com

](https://www.zhihu.com/question/439768601/answer/1683913941)

@腾讯 QQ

的回答部分说服了我,在当时国内对隐私安全的重视程度来看上线这样的逻辑也存在可能。既然如此,那么等新的更新包出了,相关的逻辑该下线吧。拦截规则我不会关掉,希望 QQ 在未来不会再次出现在拦截日志里面。

但我觉得这样的行为还是应该受到处罚,毕竟在未明确告知的情况下侵犯了用户的隐私。如果我国相关法律有 GDPR 那么严格,那才能真正实现对公民个人隐私的保护。


另外

@腾讯 QQ

,QPCore 的作用是不是也该说明一下?知道你写了安全辅助模块,但它应该没有在 QQ 不执行的时候也自启动还不允许退出的道理吧。杀毒软件都没这么霸道,都提供退出功能。


“手机端 QQ 不存在上述操作,不受影响”,额,是手机上本来就做不到吧。且不说 iOS,就算是安卓你也不可能随便访问其他应用的数据的。

知乎用户 螃蟹队长 发表

好家伙,我记录全是知网搜索,那能帮我写篇论文么

知乎用户 破城豆沙包 发表

我这来谈谈终极解决方案。

心急的可以直接看下面加粗的 “终极解决方案”,不急的可以看下下面,腾讯实际比题注描述的丧心病狂多了。

作为一个资深的私人隐私保护强迫症患者,我把高赞答案全试了一遍,直到我发现其实腾讯不只扫描你的网页浏览器数据,它扫描的是你的所有的私人数据,只是截图的时候,题主只截图了这部分,而我这边看到的是:

暴雪被腾讯完整地扫了一遍,各种 history。往后看我还看到了诸如 cdproject(cyberpunk2077)。你看到的 path not found 是因为腾讯的数据库扫描路径用的这个路径在现实中我没把东西装在这个盘,所以它扫的时候没有,这是默认路径。

腾讯真正想扫描的东西总共这个数字:

12900 个路径的私人文件,全给你扫一遍。有就读了拿走,没有就离开下一个,简直丧心病狂。

光靠个火绒安全防火墙,是不可能挡得住像腾讯这样一次把个人隐私一锅端的操作的。

终极解决方案”:

方案 1(土豪):

直接上 MAC 系统。把所有隐私文件设置为只有 root 可读。腾讯想抽都抽不了。

方案 2(经济):

装个 virtualbox 免费虚拟机,把腾讯,微信什么的全都扔进去。反正现在电脑运存非常充足。想用了就拉出来用下,不想的时候就让他们在一个小天地里自己养蛊。甚至可以专门给他们 “单间”。

以上

知乎用户 遂迷 发表

已经对腾讯无力吐槽了,国家赶紧拆了这公司吧

知乎用户 reyojoe 发表

我管你都干啥了,虽然早猜到有扫描的这事,但是没想到这么明目张胆。所以直接全员禁止,好在我几个物理盘分的清楚,一个全是 WordExcelPowerPoint 工作文件,直接只允许这三个,其他同理。

受保护文件夹全都搞进来就好:

一上午全是 qq 访问被拦截,访问个粑粑:

顺便把 qq 缓存也移动到了一个独立位置,呆着得了。看看明天不行直接 WindowsSendbox,大不了以后费点劲。


牛 13,无以言表,QQ 重装缓存和文件夹全都设置到独立位置,结果启动 QQ 后

行,WindowsSendbox 走你。小垃圾。

随手配置个文件,打开后自动弹出安装 qq,8G 内存的虚拟机实测秒开。

知乎用户 匿名用户 发表

[如何看待 QQ 扫描读取所有浏览器的历史记录?​www.zhihu.com

](https://www.zhihu.com/question/439768601/answer/1683913941)

来,

@腾讯 QQ

,请你解释一下

“读取浏览器历史用以判断用户登录安全风险的情况,读取的数据用于在 PC QQ 的本地客户端中判断是否恶意登录。”

为什么要在登陆后十分钟进行检测?判断是否为恶意登录不应该在登录时进行吗?

检测的关键字为什么是电商地址、股票、融资这几个关键词?你怎么通过这几个关键词来判断是不是恶意登录?

知乎的热搜为什么直接被撤了?

你这篇回答的评论为什么还要审核?

你就算说这是临时工写的代码,都比你说这玩意儿是用来检测恶意登录更让人信服

知乎用户 马文先生​ 发表

阿里更过分

知乎用户 深圳美人鱼 发表

以前开过 QQ 的音乐会员,它提示我说帮我把手机里面下载的音乐全部升级成高清音质,我就同意了。

后来 QQ 音乐把我手机里几百首音乐全删了,然后提示我下载新音乐失败。

我辛辛苦苦攒的那么多音乐就全没了。

知乎用户 超超虎 发表

腾讯这叫: 不忘初心方得始终。

有什么大惊小怪的

最简单好用的 VPS,没有之一,注册立得 100 美金
comments powered by Disqus

See Also

无所不在的面部识别:我监控你一切行动,而你却蒙在鼓里

“现在去售楼处买房,都得带个头盔!为啥?摄像头‘认识’你!” 前一阵,这样一则新闻引起了轰动:山东济南某楼盘售楼处,一名看房人为了不泄露自己个人信息,头戴摩托头盔去看房。《南方都市报》和《北京日报》等数家媒体的调查显示,售楼处使用了带有面部 …

微信被骂太冤了,是淘宝先动手的

如果说 2020 年科技圈有什么大事,那一定是反垄断。 但现在,反垄断的呼声愈演愈烈,它很有可能变成一把砍人的刀。 就在今天,【淘宝和微信是不是可以相互接入】话题冲上微博热搜,这条话题在 1 天之内,就得到 2.6 亿阅读量。 然而,在新浪 …