图片来自互联网

近日,V2ex 上 一篇题目为《QQ 正在尝试读取你的浏览记录》引发了网友们宽泛关注,内容是网友 @mengyx 在应用 QQ时,为了避免一些流氓行为,特地去的 MS Store 外面装置的 QQ 桌面版,因为之前应用了火绒的自定义拦挡性能,设置了一些重要或敏感数据目录的爱护,竟意外的发现QQ正在尝试读取他的浏览器。

拦挡日志如下:

附言 :

21 小时 36 分钟前以 History 为关键字,最早能够追溯到9.1.5版本(2019年6月),这么说此种行为至多曾经进行一年半了:

  • AppUtil.dll (有腾讯的数字签名)https://fs.sz.ixarea.com/netdisk/qq/AppUtil.dll

    SHA256: C9FD14D538AAEFBC0624F3E50BF582C4306D7674F70518070B3D1179BFD596D7

  • QQ 9.1.5 下载起源:https://dldir1.qq.com/qqfile/qq/PCQQ9.1.5/25530/QQ9.1.5.25530.exe

验证通过

随后网友 @qwqdanchun  对 QQ 的行为进行了逆向剖析,后果是证实了《QQ 正在尝试读取你的浏览记录》里的想法。

验证过程:

1、开虚拟机装QQ、Chrome,而后关上Process Monitor开始等,规定简略的过滤下。

2、果然看到了读取AppDataLocalGoogleChromeUser DataDefaultHistory等目录的操作。

3、而且工夫也是恰到好处的十分钟。

4、把规定去掉,从新翻了一下发现「受害人」之多令人震惊,认真一看,遍历了AppdataLocal下的所有文件夹,而后加上User DataDefaultHistory去读啊。User DataDefaultHistory是谷歌系浏览器(火狐等浏览器不熟,不分明目录如何)默认的历史纪录寄存地位,Chrome中枪也就很失常了。

5、而后钻研一下QQ为啥要这么干,读取到的浏览器历史记录又拿来做什么?挂上x32dbg,动静调试找到地位。

6、而后去IDA里间接反编译进去,如下(地位在AppUtil.dll中 .text:510EFB98 左近)

7、这一段的逻辑还是很难看懂的,先读取各种 User DataDefaultHistory 文件,读到了就复制到Temp目录下的temphis.db,回去看下Procmom,果然没错。再之后的操作就简略了,SQLite读取数据库,而后“select url from urls”。

通过以上的试验能够得出以下论断:

QQ并不是特意读取Chrome的历史记录的,而是会试图读取电脑里所有谷歌系浏览器的历史记录并提取链接,确认会中招的浏览器包含但不限于Chrome、Chromium、360极速、360平安、猎豹、2345等浏览器。

随后@qwqdanchun又去试了一下TIM,后果是和QQ一模一样,甚至要比QQ还离谱。


马化腾曾亲自赔罪

2017年12月25日,火绒曾针对用户反馈的对腾讯官网程序进行报毒、主动拦挡等解决公布官网申明:「之所以会拦挡腾讯相干产品装置,是因为腾讯QQ在推广『QQ浏览器』和『腾讯平安管家』的过程中,存在性能重大越位、技术手段重大超常规(和某些病毒的行为统一)等问题。」

随后互联网评论家洪波在朋友圈转发了《火绒拦挡腾讯产品阐明》的文章,让人意想不到的是马化腾居然在当天早晨 23:59 评论称:「自查了,的确是咱们团队违规出问题了。已严格要求整改解决和赔罪。」


四年后的明天事件再度重现,这次马化腾会亲自赔罪吗?

随着事件热度的一直回升,@mengyx 示意心愿大家沉着对待,期待大佬的进一步剖析或者腾讯的解释。

无关技术向的局部,目前发现上述操作的仅有电脑版QQ和TIM,微信和其余版本的QQ,TIM @mengyx 和敌人陆续在剖析,目前并没有找到相似操作。并且读取的只是浏览器历史记录,明码书签和 cookies,而浏览记录也不是间接上传,总体来说,大家的隐衷还是较为平安的。

回应流程的质疑时,@mengyx示意:在逆向时的确只进行到读取数据库的操作就停下来了,并没有对前后的内容综合思考,只是获取历史记录的 URL ,并与一些购物和证券网站比照,比照胜利的会上报。整个操作并不会波及浏览器之外其他软件,也不会获取浏览记录之外的数据,获取到的数据也没有间接上传服务器。而且,因为有对电脑域的判断,的确有可能是程序员写错了判断条件的失误,不过的确不应该这么久没有发现问题。

内容起源:

https://www.v2ex.com/t/745030

https://bbs.pediy.com/thread-265359.htm