以History为关键字,最早可以追溯到9.1.5版本(2019年6月),这么说此种行为至少已经进行一年半了:
%LocalAppData%
目录下所有基于Chromium的浏览器历史记录;具体见@qwqdanchun #21 的分析uland.taobao.com/sem/tbsearch?
(来自知乎用户Harrion) 201
fcoolish 2021-01-17 16:52:03 +08:00
腾讯好恶心
|
202
xjbeta 2021-01-17 16:52:42 +08:00 4
@pepsi537 @nuevepicos @inhd macOS 请使用 MAS 下载的版本 沙盒应用没那权限 相对安全一些
个人建议删除某个叫 jietu 的附属组件 位置在 `/Applications/QQ.app/Contents/Library/LoginItems/` 警惕需要各种目录权限 或者非沙盒的企鹅应用 包括不限于 柠檬清理 看图 |
203
user0 2021-01-17 16:55:00 +08:00
@mengyx 用了你提供的规则,发现 easyconnect 也在读取浏览记录,感谢
(不要吐槽我为啥用 easyconnect ) |
204
janssenkm 2021-01-17 16:55:07 +08:00 3
这个帖子会不会让火绒火起来了。说不定还会引起第三次世界大战,或者火 Q 大战再现。
3Q 大战的截图我都存着呢,只是在哪个目录一下子想不起来了。 |
205
DOLLOR 2021-01-17 16:55:32 +08:00
好像基于 chromium 内核的浏览器都会中招,不知 Firefox 和旧内核 edge 会不会被偷窥?
|
206
lifetimeporn 2021-01-17 16:59:21 +08:00
@user0 #203 啊这。。。我电脑仅存的国产软件。。。工作必须啊,咋办
|
207
hfc 2021-01-17 17:00:50 +08:00 5
已向 http://pip.tc260.org.cn/ 进行举报
|
208
docx 2021-01-17 17:02:22 +08:00
这样是不是躲过一劫?
- 版本 QQ 8.9.19990 绿色版 - 启动 20 分钟,火绒剑没有检测到对浏览器 History 文件的访问 - 没有你们说的 temphis.db 文件 - 用了 @swchzq 的脚本,返回结果是 Nothing |
209
kernelpanic 2021-01-17 17:02:27 +08:00
哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈, 你们电脑上装了 QQ 的,是不是相当于在腾讯面前裸奔了一年? 每周上几次 P 站, 看什么类型的片他都知道
|
210
snw 2021-01-17 17:06:43 +08:00 via Android
@swchzq
这个怎么计算的?我算了下 JD 的和 VINTAGE 的 md5 但好像对不上图中的 md5 |
211
Howard2000 2021-01-17 17:06:55 +08:00
@user0 easyconnect 在不使用的时候还会占用连接数,然后几天不重启就网络崩溃了
所以现在只敢在虚拟机里用 |
212
docx 2021-01-17 17:08:04 +08:00
对了,我还想吐槽一下,貌似搜狗输入法会通过注入其它程序的方式去访问注册表 /网络。
之前使用 Nod32 开启防火墙和 HIPS,总会有莫名其妙的程序(比如 Fn 功能键的管理程序、音频驱动程序)去访问 *.pinyin.sougou.com 。 后来实在受不了,把搜狗输入法拉黑断网,之后就一点奇怪事都没了…… |
213
lizy001 2021-01-17 17:12:35 +08:00
MS Store 的 QQ9.1.6(25368),仅仅读取了 chrome.exe 的文件位置,操作为 QueryNameInformationFile,尚未发现读取记录。
|
214
WaylanPunch 2021-01-17 17:13:46 +08:00
你以为 Tim 和微信稍微好一点,其实是一路货色
|
215
ye10010 2021-01-17 17:14:20 +08:00
使用 chrome 绿色版,所有数据不放在 appdata 下,放在其他地方,应该能防一下吧...tim 不用还不行
|
218
vinsony 2021-01-17 17:22:51 +08:00 2
国产软件只配进沙盒、虚拟机
|
219
JasperHale 2021-01-17 17:26:13 +08:00
@TypeError win10 沙盒就是 windos 自带 hyper-v 虚拟机 啊
|
220
laydown 2021-01-17 17:32:57 +08:00 1
腾讯一直就这么流氓的呀,为什么大家好像都一副如梦初醒的样子?
|
222
franc3567 2021-01-17 17:37:10 +08:00
所有国产软件(特别是输入法)最好都用虚拟机隔离运行即可。
|
223
lifetimeporn 2021-01-17 17:42:19 +08:00
看来 360 早在十年前就知道腾讯会窃取用户隐私,那个时候只关注了 360 和 QQ 二选一,还以为是 360 无缘无故挑起的事端,没想到当时的选择却是助纣为虐了
|
224
swchzq 2021-01-17 17:44:28 +08:00 1
|
225
aloneinfall 2021-01-17 17:45:44 +08:00
建议,sandboxie +绿色版 QQ
PS:github 上的第三方维护的 sb 已经可以在 20H2 上正常使用了 |
227
Hozoy 2021-01-17 17:47:27 +08:00
不是好多年都是这样了吗?当初 360 就是因为 QQ 私自扫描用户文件才推出扣扣保镖,3Q 大战才开始的,之后腾讯只是说扫描用户文件是为了查杀环境是否安全。到现在还有很多人因为 3Q 大战去骂 360,呵呵。现在有石锤了,看哪个国产安全软件还默认去防止 QQ 的这些行为?
|
228
lifetimeporn 2021-01-17 17:49:20 +08:00
@Hozoy #227 为什么当时 360 没给出今天帖子这样的石锤证据来,要是有今天这种证据,当时的案子腾讯没法洗的
|
229
raion 2021-01-17 17:51:51 +08:00 21
```
tasks = { # URL 匹配 # (23, 0x1C6389BA, 0xF2FA5666, 0xF2A2E0D3, 0xC892E7BA): b'', # ://S.TAOBAO.COM/SEARCH? # (34, 0xB829484C, 0x520F7CC3, 0x94EC8A73, 0xD808E79): b'', # LIST.TMALL.COM/SEARCH_PRODUCT.HTM? (30, 0xDDA1029, 0x9E67F3BB, 0xB18ACC45, 0x597CF438): b'', # # (21, 0x2564591C, 0x5B11347B, 0x846A0F72, 0xEF704A8): b'', # SEARCH.JD.COM/SEARCH? # 搜索关键词匹配 # group 1 # (18, 0x8C2F8C3B, 0x9CA6DB69, 0x663C9537, 0xA0B64B58): b'', # 古着 # (7, 0x966DC59E, 0x592F2331, 0x6D2BF021, 0xA1D96C3C): b'', # VINTAGE # group 2 # (18, 0x7FACF63C, 0xBEC2FCB0, 0xBE8836F6, 0x167CC273): b'', # 融券 # (18, 0x46B6D8D7, 0x8AA82723, 0xBE19FA24, 0x670E160C): b'', # 融资 # group 3 # (18, 0xE235F85E, 0x5C924D20, 0xA61B84AC, 0x4BC792DD): b'', # 炒股 # (18, 0x79088BEC, 0xF29CC9E8, 0xBF920D9, 0x455AE9ED): b'', # 股票 } ``` 不弄了,还剩一个链接可能太过于阴间反查不到。 上报时不会把 URL 上传,只会把用户属于哪一个组上传。HTTP 上报的时候参数 skey=0x800915e 初始化这些 MD5 关键词的时候把组号填了进去,上报时只有一个整数 最后顺带一提,IE 历史记录也是读的。FindFirstUrlCacheEntryW 函数找找看。 |
230
raion 2021-01-17 17:56:33 +08:00 3
@snw 原文都是在 URL 里的,中文得按照 UTF-8 的 %XX%XX%XX%XX%XX%XX,然后转换成 UTF-16LE 再 MD5 。
转成宽字符串这一步,明显是为了和读 IE 历史记录的 API 拿到的宽字符串兼容。 |
231
eddie4607 2021-01-17 17:56:50 +08:00 via iPhone
请问 macOS 有这个问题吗?
|
232
Hozoy 2021-01-17 17:58:22 +08:00 1
|
233
murmur 2021-01-17 18:09:10 +08:00
看 pcdiy,好家伙,所有浏览器的行为他都要
|
234
xxyk 2021-01-17 18:09:54 +08:00
@aloneinfall sandboxie+绿色版 QQ 还是会扫描啊,sandboxie 只能阻止写入不能阻止读取啊
|
239
CismonX 2021-01-17 18:18:35 +08:00 via iPhone
虽然我已经好几年没用 Windows 版 QQ 了,但之前还是腾讯面前裸奔了好几年,真是大 E 了
|
240
lifetimeporn 2021-01-17 18:21:59 +08:00
@Hozoy #232 我看了你给的两个链接,里面根本没有说到扫描用户浏览器的历史记录这种恶劣行为。
|
241
terence4444 2021-01-17 18:29:07 +08:00 via iPhone
@lifetimeporn 浏览器历史记录也是以文件形式储存的吧
|
242
mcone 2021-01-17 18:32:52 +08:00
怎么这只马现在也这么骚了
|
243
milukun 2021-01-17 18:35:12 +08:00
只分析打标签也不可接受,凭什么你未经允许搜集我在其他应用里的信息?没有得到我的同意,也没有得到其他应用的同意
|
244
BigbyWolf 2021-01-17 18:35:20 +08:00
昨天坚持淘宝购号 Sandboxie 登 QQ,焦头烂额,今天就出这档子事。
|
245
Hozoy 2021-01-17 18:36:29 +08:00
@lifetimeporn 当初是扫描用户桌面和文档里面的 doc 文档等文件,这和浏览器历史数据不是同样重要吗,不都是属于个人隐私吗?即使现在这个事情爆出来,腾讯还可以以“这是腾讯安全组件的功能的一部分,为了保证用户安全进行的扫描行为”作为回应。毕竟 10 年前他们也是这样回应的。
|
247
lifetimeporn 2021-01-17 18:45:07 +08:00
@Hozoy #245 你仔细看,当年腾讯没有承认自己扫描了.doc 文件,仅仅是说自己扫描了 Word.exe ,即 Word 软件的主程序的可执行文件,这和个人隐私、文档有本质区别,而今天这些证据则是真正地实锤扫描用户的隐私,而不是扫描 Chrome.exe 这个 Chrome 浏览器主程序的可执行文件。
|
248
dreamtrail 2021-01-17 18:46:32 +08:00
你每天用 qq,wx 和家人,女朋友都说了些什么话 tx 都知道,你还怕 tx 知道你看了些啥网站?
|
249
Hozoy 2021-01-17 18:54:51 +08:00
@lifetimeporn http://www.6cu.com/uploads/allimg/190602/21292460X-13.jpg QQ 是遍历扫描,而不是只扫描可实行稳健,图片里面可以看到 htm 这样可读文本也进行了扫描
|
250
mythabc 2021-01-17 18:56:12 +08:00
犯罪收益 O(n)
犯罪成本 O(1) |
251
lifetimeporn 2021-01-17 19:01:03 +08:00
@Hozoy #249 嗯是的,但是你上面两个链接里面,腾讯拒不承认自己扫了这些可能涉及用户 隐私的文本文件,而只是单承认扫描了“无关紧要”的 exe 文件打幌子,我很好奇腾讯当时是怎么绕过去 shen wen 的?仅仅因为当时的律师 、法官等人是计算机 idiot 吗?还是即使不是 idiot 也能晃过去?真必胜客?
|
253
HongJay 2021-01-17 19:04:55 +08:00
@dreamtrail #246 洗也洗的阴阳怪气
|
257
roachard 2021-01-17 19:16:08 +08:00
不知道你们忘没忘,我可是还记得 QPCore Service 呢
|
258
ditel 2021-01-17 19:17:28 +08:00 via Android
这个就是监测了吧。合理怀疑你的录音也被分析了,只是分析后录音文件被销毁了[dog]
|
259
vmebeh 2021-01-17 19:17:47 +08:00
sandboxie 可以阻止访问文件、注册表,只读、只写都可以
|
260
L0lita 2021-01-17 19:18:47 +08:00
|
261
xinyana 2021-01-17 19:20:28 +08:00 via Android
@janssenkm 你放到哪里想不起来了,问问 qq,他应该知道,qq 可能会告诉你,你的截图被我烧了
|
263
xinh 2021-01-17 19:27:00 +08:00 via iPhone
@yanzhiling2001 我去,这个配置它都想要
|
265
THP301 2021-01-17 19:33:09 +08:00
只要不违法,怕什么被监控呢? 何况国内就不存在隐私这个说法, 大家的数据都是裸奔的,既然生活在国内就接受现实吧
|
266
seaswalker 2021-01-17 19:37:21 +08:00
|
267
chenshaoju 2021-01-17 19:38:10 +08:00 5
@THP301 #265 《民法典》规定自然人享有隐私权。 隐私是指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。 上述规定意味着除法律法规另有规定或当事人同意外,有权要求其他组织或个人不得实施侵扰私人生活安宁的行为,不得窥探私密空间、私密活动、私密信息等。
http://www.xinhuanet.com/legal/2020-11/14/c_1126738496.htm |
268
acess 2021-01-17 19:44:36 +08:00 1
我记得 WPS 在本站也有人反映过类似的问题:/t/275450
“他还会监视窗口事件(父窗体为 chrome 浏览器),查看你浏览 X 宝市场 /X 里妈妈市场的标题栏(实在不知道它要干嘛,也许是为了分析用户行为)” |
269
DearMark 2021-01-17 19:45:14 +08:00
我是不用 QQ 的,建议用的,举报一下
|
270
qanniu 2021-01-17 19:46:30 +08:00 5
@chenshaoju 法律不是挡箭牌
|
271
ZeroKong 2021-01-17 19:50:21 +08:00
@THP301 虽然说是这样,但要放在欧盟会不会被罚死=-= url 里带一个明文传输的账号密码就玩完,当然现在也没人放明文的=-=。
|
273
soraginko 2021-01-17 20:11:50 +08:00
腾讯公关部会来删帖吗?
|
274
Nazar1te 2021-01-17 20:13:00 +08:00
不懂就问,sublime text3 这也是读取我的浏览器历史吗?
![img]( https://imgur.com/uJtR3x1) |
275
ItzhacLea 2021-01-17 20:27:02 +08:00
@murmur 商店版本的柠檬清理也 [不一定] 安全,没记错的话打开程序时会用 NSOpenPanel 弹框让你选择 Home folder 。Catalina 及之后的文件系统有一个扩展属性叫 com.apple.macl,可以用 ls -l@ 观察到,这个扩展属性储存了一个列表,列表上的程序访问受保护文件夹时 [不会] 弹框要求用户的许可。
而 NSOpenPanel,drag and drop,用户双击文件,都会添加这个扩展属性到文件上,以防止过多的隐私保护弹窗打扰用户。 ref: Reset access obtained through inferred user intent on Catalina: https://developer.apple.com/forums/thread/124121 Undocumented Catalina file access change: https://lapcatsoftware.com/articles/macl.html |
276
bin456789 2021-01-17 20:28:01 +08:00 15
趁人多热闹提醒下
Chrome 保存的密码都能直接读出来,甚至不用 UAC 权限 换言之随便一个软件都有权限读取,看开发者的良心 https://www.nirsoft.net/utils/chromepass.html 滑稽的是,Chrome 查看自己保存的密码还掩耳盗铃地要输入 Windows 账户密码。 |
277
ItzhacLea 2021-01-17 20:35:54 +08:00
@seaswalker 是的,在 Mac 上 App 还可以使用 UNIX 命令,调用个 shell 也不是难事。我看了下 ~/Library/Application\ Support/ 是没有受到系统保护的,拿一个没有 full disk access 的终端就可以测出来:
~ ls ~/Library/Application\ Support/Google FIRApp 但是 Safari 文件夹反倒是受到保护的,毕竟是自家产品: ~ ls ~/Library/Safari ls: Safari: Operation not permitted |
278
wiix 2021-01-17 20:38:16 +08:00
还好我机智,几乎所有的国产软件我只在虚拟机里运行。
|
279
acess 2021-01-17 20:38:56 +08:00
@bin456789
+1,本来就是这样,xkcd 1200 更何况 UAC (从降权管理员提升到完整管理员)其实也是可以绕的,微软都说 UAC 不是安全功能,虽然微软有时候会顺带修补封堵一部分绕过手段。 |
280
MeteorCat 2021-01-17 20:41:50 +08:00 via Android 1
这太吓人了,原来我浏览记录一直被 QQ 监控
|
281
Dashit 2021-01-17 20:42:16 +08:00 1
@bin456789 查看自己保存的密码还掩耳盗铃地要输入账户密码
Safari/edge 都是这样。输入密码的时候浏览器弹出记住密码,勾选同意后都会保存起来,用户在浏览器设置中可以输入开机密码后查看保存的密码。 随便一个软件都有权限读取 Chrome 密码这个就不清楚了。 |
282
BigbyWolf 2021-01-17 20:42:38 +08:00 2
@cnfzv Sandxie Plus 默认配置是阻止对常见应用程序数据的访问。
应用程序模板默认配置下所有浏览器(chromium 系、Firefox 及衍生、新旧 Edge 以及我都没见过的浏览器)的同步设定、偏好设定、密码、Cookie 、书签和历史记录数据都是未勾选的,WebBrower 类目中只有 Google Chrome/Firefox 的防钓鱼数据库是允许访问的。 资源访问 选项可以配置阻止对文件资源的访问。 |
283
acess 2021-01-17 20:44:39 +08:00
@bin456789
不过……这也不完全是掩耳盗铃吧,本地的密码数据我记得确实是加密了,如果没有登录 windows 账户,那就是密文。 |
284
acess 2021-01-17 20:47:39 +08:00
@Dashit 是的,控制面板里的的“凭据”我记得就是 IE 里保存的密码……其实只要 Windows 账户登录了,就解密了。查看明文密码时要求输入 Windows 登录密码,这个本质上是防君子不防小人的。
|
286
acess 2021-01-17 20:53:49 +08:00 1
@bin456789 chromepass 也是需要先登录 windows 账户进桌面的吧。
In order to use this feature, you must know the last logged-on password used for this profile, because the passwords are encrypted with the SHA hash of the log-on password, and without that hash, the passwords cannot be decrypted. |
287
acess 2021-01-17 20:55:32 +08:00
@bin456789 只有先登录那个 Windows 账户进了桌面,chromepass 才可以直接看到这个账户下的明文密码。
如果要看其他账户的密码,或者看离线系统(比如双系统、USB 易驱线挂上其他机器硬盘里的系统)上的密码,那就需要输入其他账户的密码。 |
290
BigbyWolf 2021-01-17 20:58:41 +08:00 3
@xxyk @TypeError
Sandboxie Plus 默认配置是阻止对常见应用程序数据的访问。 应用程序模板默认配置下所有浏览器(chromium 系、Firefox 及衍生、新旧 Edge 以及我都没见过的浏览器)的同步设定、偏好设定、密码、Cookie 、书签和历史记录数据都是未勾选的,WebBrower 类目中只有 Google Chrome/Firefox 的防钓鱼数据库是允许访问的。 资源访问 选项可以配置阻止对文件资源的访问,包括读取、修改。 还可以限制程序只得在 Sandboxie 中运行。 可以参考卡饭的这篇 2018 年针对原版 Sandboxie 的老帖,或者右键点击沙盒实例条目打开选项卡,选择沙盒选项(非全局选项)查看 https://bbs.kafan.cn/thread-2121301-1-1.html --- 以为我又在认知浅薄的状态下唐突发言误导别人了,还修改不了回复 /添加不了附言,老哥真给我吓心脏一停,就放后边待有缘人翻到吧。 |
291
acess 2021-01-17 20:59:28 +08:00 1
@bin456789 你说掩耳盗铃是有一定道理的,因为实际上不需要第二次重复输入 Windows 登录密码,只要现在已经是已经登录 Windows 账户、进到桌面的状态,浏览器记住的密码就已经是可以解密到明文的状态了。
其实不用 chromepass 也能看,打开被记住密码的网站,F12 改一下密码框的 HTML 属性就行。 |
292
bin456789 2021-01-17 20:59:36 +08:00
@acess 用 Chrome 的时候也是登录了啊。
况且,另一个软件可以轻松获取浏览器保存的密码,这本来就不合理,任何解释都是徒劳的。 |
293
nikolai 2021-01-17 21:03:57 +08:00
@seaswalker 明显可以,参考各种 Chromium 系浏览器直接从 Chrome 迁移数据什么的
|
294
xiaozaiziwyt 2021-01-17 21:06:46 +08:00
qqprotect 也是个流氓程序,不知道会扫描些什么文件。记得以前因为 protect 更新,好像也闹过一次(是因为会接管浏览器注册成企业的,有后台还是什么)
|
295
acess 2021-01-17 21:10:11 +08:00
@bin456789
其实在桌面系统上,“这个软件”和“另一个软件”之间本来就没有什么明确的、不可逾越的界限吧。一直以来就是这样。 我觉得这并不完全是坏事。移动操作系统可能设计之初就考虑了这个问题,没有那么多历史包袱,但就像 Android,magisk 的开发者不也吐槽么,整个系统 highly lockdown 了,用户没有自由了,对设备没有真正的、完全的控制权。 |
296
bin456789 2021-01-17 21:10:45 +08:00
@acess 性质不同了,一个是我自己打开 Chrome 按 F12 自己看的,起码我是知道这个操作的。
另一个是第三方软件直接读 /偷密码。安全性取决于开发者的良心。 当然第三方也可以使用骚操作,后台打开 Chome,模拟按下 F12,再读屏幕拿到密码。 不过也不能因为一部分漏洞而完全放弃治疗。 |
297
Sevastian 2021-01-17 21:18:03 +08:00
我现在在用的是 2.2.5 TIM,签名 2018 年 6 月,有大佬试试吗。。
链接: https://pan.baidu.com/s/1I8NoaWYewdjLwhf_WTCX4w 提取码: d35x |
298
microka 2021-01-17 21:21:33 +08:00
求个作业抄下 [doge]
|
299
yanqiyu 2021-01-17 21:22:29 +08:00 via Android 1
@bin456789 不是掩耳盗铃,首先你登陆 Windows (或者在 Linux 桌面解锁密钥环)之后加密存储库的密码就被解密,存储库也就对于任意程序可读。
这些密码必然不能以某种非对称方式保存,因为你要填充用明文。在没有使用特殊的操作系统提供专门的密钥保护机制的前提下 chrome 不可能有独享的存储空间,它自己能读到的密码任意程序自然能读到。 至于查看密码需要验证凭据,这也很正常,一方面能防小白(这个验证凭据正是因为用户的呼声加上的),也要求拿走密码步骤变长,另外需要额外安全性的用户可以在此基础上配置可执行文件策略等保护密码不被拿到。 所有浏览器都跑不掉这个设计,真的要解决这个问题还是 FIDO 这样的机制...干脆放弃记住密码算了 |
300
Dashit 2021-01-17 21:25:11 +08:00
|