Calda
2021-01-08T03:26:32+00:00
今天看到群里有同学发了一篇v2ex上的帖子([url]https://www.v2ex.com/t/745030 [/url]),说QQ会读取Chrome的历史记录,被火绒自定义规则拦截了,本来我是不信的,但是他说他复现了,而且是QQ登录10分钟后才会去访问。
这我就想去验证下了,开虚拟机装QQ、Chrome,然后打开Process Monitor开始等。规则简单的过滤下。
[img]https://img.nga.178.com/attachments/mon_202101/17/-7Qiyr-jp99KuT1kSe1-8t.jpg.medium.jpg[/img]
果然看到了读取AppData\Local\Google\Chrome\User Data\Default\History等目录的操作。
[img]https://img.nga.178.com/attachments/mon_202101/17/-7Qiyr-6cdiZoT3cSsh-f2.jpg.medium.jpg[/img]
而且时间也是恰到好处的十分钟。
[img]https://img.nga.178.com/attachments/mon_202101/17/-7Qiyr-dw0qK20T3cSsw-4p.jpg.medium.jpg[/img]
这是实锤了QQ和Chrome过不去啊,这我可不信,把规则去掉,重新翻了一下才发现果然是冤枉QQ了啊。
[img]https://img.nga.178.com/attachments/mon_202101/17/-7Qiyr-g3v4Z10T3cSxc-or.jpg.medium.jpg[/img]
受害人之多令人震惊,仔细一看,这玩意是遍历了Appdata\Local\下的所有文件夹,然后加上User Data\Default\History去读啊。User Data\Default\History是谷歌系浏览器(火狐等浏览器不熟,不清楚目录如何)默认的历史纪录存放位置,Chrome中枪也就很正常了。
然后就该研究研究QQ为啥要这么干了,读取到的浏览器历史记录又拿来干啥了呢?
挂上x32dbg,动态调试找到位置。
[img]https://img.nga.178.com/attachments/mon_202101/17/-7Qiyr-i4z5ZaT3cSso-f3.jpg.medium.jpg[/img]
然后去IDA里直接反编译出来,如下(位置在AppUtil.dll中 .text:510EFB98 附近)
[img]https://img.nga.178.com/attachments/mon_202101/17/-7Qiyr-c2paZdT3cSs9-mi.jpg.medium.jpg[/img]
这一段的逻辑还是很好看懂的,先读取各种 User Data\Default\History 文件,读到了就复制到Temp目录下的temphis.db。回去看下Procmom,果然没错。
[img]https://img.nga.178.com/attachments/mon_202101/17/-7Qiyr-jkhiZyT3cSx4-ks.jpg.medium.jpg[/img]
再之后的操作就简单了,SQLite读取数据库,然后“select url from urls”,这是在干什么大家都懂哈。后面就不接着讲了,有兴趣的可以自己接着看。
结论,QQ并不是特意读取Chrome的历史记录的,而是会试图读取电脑里所有谷歌系浏览器的历史记录并提取链接,确认会中招的浏览器包括但不限于Chrome、Chromium、360极速、360安全、猎豹、2345等浏览器。
晚上来编辑一下,刚才去试了下TIM,果然经典重现,而且比QQ还离谱,不多说直接上图。
[img]https://img.nga.178.com/attachments/mon_202101/17/-7Qiyr-6xrqZkT3cSxc-f1.jpg.medium.jpg[/img]
[img]https://img.nga.178.com/attachments/mon_202101/17/-7Qiyr-dkz0ZrT3cSxc-ih.jpg.medium.jpg[/img]
本文作者 qwqdanchun
本文来源 看雪论坛
本文来源 [url]https://bbs.pediy.com/thread-265359.htm[/url]
更新下,我(不是这篇文章的作者)认识的人测试了下,火狐数据没发现被读取,可能是火狐的份额太少了,不知道还说是幸运还是不幸。
再更新下,又有人测试,opera也没被读取,百分,edge,vivaldi被读取了。
他把百分浏览器portable版解压到local目录下也被读取了历史记录,另一份直接解压到C盘没有被读取到,所以tim应该只能读取local文件夹下的历史记录。
所以Firefox、opera、各种portable版浏览器浏览器是天然安全的,这些历史记录文件都不在local文件夹里面,除非你自己改了。
补张图
[img]https://img.nga.178.com/attachments/mon_202101/17/-7Qiyr-fl3wZeT3cSu0-q6.jpg.medium.jpg[/img]
[img]https://img.nga.178.com/attachments/mon_202101/17/-7Qiyr-62hvK4T1kSa3-1t.jpg.medium.jpg[/img]
QQ扫描暂时只会匹配local文件夹里面的这个路径
chromium系的可以用参数启动,自定义配置文件夹
[img]https://img.nga.178.com/attachments/mon_202101/17/-7Qbev7-2vx3K1jT3cSu4-lt.jpg.medium.jpg[/img]
这是网友解密的截图
看样子是分析的历史记录里面的电商搜索记录
还有,蓝点网报道的:微软商店版的腾讯QQ虽然没有安装 Q盾 但也会读取用户历史记录,所以使用商店版不能规避隐私泄露问题。
这我就想去验证下了,开虚拟机装QQ、Chrome,然后打开Process Monitor开始等。规则简单的过滤下。
[img]https://img.nga.178.com/attachments/mon_202101/17/-7Qiyr-jp99KuT1kSe1-8t.jpg.medium.jpg[/img]
果然看到了读取AppData\Local\Google\Chrome\User Data\Default\History等目录的操作。
[img]https://img.nga.178.com/attachments/mon_202101/17/-7Qiyr-6cdiZoT3cSsh-f2.jpg.medium.jpg[/img]
而且时间也是恰到好处的十分钟。
[img]https://img.nga.178.com/attachments/mon_202101/17/-7Qiyr-dw0qK20T3cSsw-4p.jpg.medium.jpg[/img]
这是实锤了QQ和Chrome过不去啊,这我可不信,把规则去掉,重新翻了一下才发现果然是冤枉QQ了啊。
[img]https://img.nga.178.com/attachments/mon_202101/17/-7Qiyr-g3v4Z10T3cSxc-or.jpg.medium.jpg[/img]
受害人之多令人震惊,仔细一看,这玩意是遍历了Appdata\Local\下的所有文件夹,然后加上User Data\Default\History去读啊。User Data\Default\History是谷歌系浏览器(火狐等浏览器不熟,不清楚目录如何)默认的历史纪录存放位置,Chrome中枪也就很正常了。
然后就该研究研究QQ为啥要这么干了,读取到的浏览器历史记录又拿来干啥了呢?
挂上x32dbg,动态调试找到位置。
[img]https://img.nga.178.com/attachments/mon_202101/17/-7Qiyr-i4z5ZaT3cSso-f3.jpg.medium.jpg[/img]
然后去IDA里直接反编译出来,如下(位置在AppUtil.dll中 .text:510EFB98 附近)
[img]https://img.nga.178.com/attachments/mon_202101/17/-7Qiyr-c2paZdT3cSs9-mi.jpg.medium.jpg[/img]
这一段的逻辑还是很好看懂的,先读取各种 User Data\Default\History 文件,读到了就复制到Temp目录下的temphis.db。回去看下Procmom,果然没错。
[img]https://img.nga.178.com/attachments/mon_202101/17/-7Qiyr-jkhiZyT3cSx4-ks.jpg.medium.jpg[/img]
再之后的操作就简单了,SQLite读取数据库,然后“select url from urls”,这是在干什么大家都懂哈。后面就不接着讲了,有兴趣的可以自己接着看。
结论,QQ并不是特意读取Chrome的历史记录的,而是会试图读取电脑里所有谷歌系浏览器的历史记录并提取链接,确认会中招的浏览器包括但不限于Chrome、Chromium、360极速、360安全、猎豹、2345等浏览器。
晚上来编辑一下,刚才去试了下TIM,果然经典重现,而且比QQ还离谱,不多说直接上图。
[img]https://img.nga.178.com/attachments/mon_202101/17/-7Qiyr-6xrqZkT3cSxc-f1.jpg.medium.jpg[/img]
[img]https://img.nga.178.com/attachments/mon_202101/17/-7Qiyr-dkz0ZrT3cSxc-ih.jpg.medium.jpg[/img]
本文作者 qwqdanchun
本文来源 看雪论坛
本文来源 [url]https://bbs.pediy.com/thread-265359.htm[/url]
更新下,我(不是这篇文章的作者)认识的人测试了下,火狐数据没发现被读取,可能是火狐的份额太少了,不知道还说是幸运还是不幸。
再更新下,又有人测试,opera也没被读取,百分,edge,vivaldi被读取了。
他把百分浏览器portable版解压到local目录下也被读取了历史记录,另一份直接解压到C盘没有被读取到,所以tim应该只能读取local文件夹下的历史记录。
所以Firefox、opera、各种portable版浏览器浏览器是天然安全的,这些历史记录文件都不在local文件夹里面,除非你自己改了。
补张图
[img]https://img.nga.178.com/attachments/mon_202101/17/-7Qiyr-fl3wZeT3cSu0-q6.jpg.medium.jpg[/img]
[img]https://img.nga.178.com/attachments/mon_202101/17/-7Qiyr-62hvK4T1kSa3-1t.jpg.medium.jpg[/img]
QQ扫描暂时只会匹配local文件夹里面的这个路径
chromium系的可以用参数启动,自定义配置文件夹
[img]https://img.nga.178.com/attachments/mon_202101/17/-7Qbev7-2vx3K1jT3cSu4-lt.jpg.medium.jpg[/img]
这是网友解密的截图
看样子是分析的历史记录里面的电商搜索记录
还有,蓝点网报道的:微软商店版的腾讯QQ虽然没有安装 Q盾 但也会读取用户历史记录,所以使用商店版不能规避隐私泄露问题。