百科问答小站 logo
百科问答小站 font logo



如何看待 QQ 扫描读取所有浏览器的历史记录? 第1页

     

user avatar   wang-peng-cheng-63-31 网友的相关建议: 
      

一人血书求红衣教主再出马! @周鸿祎

如果QQ没有掀用户裙子,怎么知道用户穿了360的安全裤?

图来源:Twitter@FanKetchup


user avatar   kaguyasama 网友的相关建议: 
      

如何防止所有软件(包括但不限腾讯系、阿里系、百度系)在后台偷偷摸摸读取、修改你的谷歌系浏览器历史记录,至于edge与火狐的保护请复制本回答最下面的三行代码(分别为chrome、edge、火狐)依样画葫芦即可,或者直接使用我在本回答中提供的json导入即可,已经全部包括。


下载火绒安全软件,建议搜索“火绒”或者点击官网:火绒安全 下载最新版火绒安全软件5.0。

1.下载安装后打开火绒安全软件,点击“防护中心”

2.点击左下角的“高级防护”

3.点击“自定义防护”五个字

4.点击右下角的“添加规则”

5.“发起程序”一栏中建议填写默认的“*”即为所有软件的访问都先过一遍火绒,然后点击右下角的“添加防护对象”。

6.在“文件规则”下填写冒号以后的黑体字符:*User DataDefaultHistory

在“保护的动作(必选)”中勾上“读取”与“修改”,接着在“规则名”中填写一个自己喜欢的名字,点击“保存”。

7.检查发起程序与规则是否正确,全部正确后点击右下角的“保存”。

8.在“自定义规则”中即可找到刚才所添加的规则,此时退出QQ/TIM再重新打开,等十几分钟来验证规则是否生效。

9.规则生效


此时有同学举手提问了:我就是不会怎么办呢?

没问题!首先下载这个文件:浏览器隐私 提取码:2333

接着打开自定义防护,看到这个“导入”了吗?点它!

接着选择刚刚下载下来的json,点击“打开”

然后选择“确定”即可

完成!


此外多赠送几条规则,以下规则一行为一条,复制粘贴即可:

?:Users*AppDataLocal*ChromeUser DataDefault*

?:Users*AppDataLocal*User DataDefault*

?:Users*AppDataRoamingMozillaFirefoxProfiles*


此外如果你是chrome系或新版edge浏览器的话,推荐一个拓展:Ghostery,会自动防止网站追踪

防止广告追踪效果(防止了知乎的百度广告追踪):


user avatar   teng-xun-qq-60 网友的相关建议: 
      

近日,我们收到外部反馈称PC QQ扫描读取浏览器历史记录。对此,QQ安全团队高度重视并展开调查,发现PC QQ存在读取浏览器历史用以判断用户登录安全风险的情况,读取的数据用于在PC QQ的本地客户端中判断是否恶意登录。所有相关数据不会上传至云端,不会储存,也不会用于任何其他用途。

具体情况为,该操作为历史上线的一个对抗恶意登录的技术解决方案:因系统识别有不少伪造的QQ客户端会恶意访问多个网站作为前期辅助工作,因此在PC QQ客户端中加入了检测恶意和异常的访问逻辑,以此作为辅助手段去判断恶意客户端。

对本次事件,我们深表歉意,内部正梳理历史问题并强化用户数据访问规范。目前,我们已经更换了检测恶意和异常请求的技术逻辑去解决上述安全风险问题,并发布全新的PC QQ版本。为减少不便,所有受影响的PC QQ历史版本将在今天开始进行热更新和推送升级包。同时,手机端QQ不存在上述操作,不受影响。

最后,感谢各位技术爱好者的监督,我们也欢迎大家向腾讯安全应急响应中心(腾讯安全应急响应中心 )提交报告。


user avatar   aton 网友的相关建议: 
      

这个“澄清”简直笑死我,老阴阳师了。

原质疑帖说的是QQ偷读Edge的历史记录,作者经过严谨的技术分析,得到明确结论:

QQ确实没有只偷读Edge的历史记录,而是扫描了你电脑上安装的所有浏览器历史记录,并把访问过的所有网址全都收集起来,具体后续还有什么操作就不得而知了。

反正你说它收集着玩玩我是不信的,只留在本地分析不上传原始数据我是更不信的。


我看完之后首先就打开火绒,添加了保护浏览器数据的自定义规则。

之前保护的是QQ微信聊天记录、SSH key、科学上网配置等,看来危机意识还是不够,对所有国产软件都要保持永久性警惕。


补充一个我自己刚截的图,这是TIM启动10分钟后发生的事情:


为避免删除,将原帖[原创]关于QQ读取Chrome历史记录的澄清-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com 全文截图备份如下:


user avatar   maomaobear 网友的相关建议: 
      

这个东西,在国内,你真是躲无可躲。

qq其实现在用的少了,但是微信你总得用吧。

淘宝,支付宝你得用吧。

百度你得用吧

知乎你不是开着吗?

你为什么一开花钱的软件,给你推荐的就是你近期搜索过,甚至谈论过的?

你的用户画像各个地方比你自己都清楚。

除非你退回原始时代,用现金,不连接互联网,不与其他人互联网沟通。

否则隐私根本无法保护。

玩单机版本还可以安全防护,有社交媒体,你自己搞个加密通讯,没人用啊。

只有政府立法,公平执法,检查公司软件的源代码,发现违法重罚(譬如罚腾讯公司10万亿美元,交不起罚款,就把腾讯公司没收,变成国企)

否则,任何公司都会优先挣钱,而不会管什么隐私。


user avatar   yang-leonier 网友的相关建议: 
      

某团体早在2008年之前,他们的技术论坛还叫qxbbs的时候就要求“会员”要么不使用“常人”用的QQ等国内聊天软件,需要使用,比如“讲真相”的时候要放进虚拟机用,虚拟机要开自动还原。否则出事的概率大大上升。


user avatar   li-xiang-1-48 网友的相关建议: 
      

腾讯的回应驴唇不对马嘴,难道扫描淘宝京东等购物网站的浏览记录能有助于安全?提醒大家,凡是存放数字货币的电脑,一律不使用这类不安全的软件,否则你的币随时都可能被偷而你却不能察觉!


user avatar   lionium 网友的相关建议: 
      

拿到历史记录之后干了什么?应该是读取了淘宝、天猫和京东的搜索记录,并且通过统一接口上传了特定的搜索关键词吧。

根据有关灵媒的说法,内部算法具体 URL 检查步骤如下:

  1. 确保 URL 是 UTF-16LE 编码的宽字符串
  2. 把整条 URL 转换成大写
  3. 寻找长度为 size 的,MD5(4个整数)哈希为 A B C D 的子字符串。

MD5 是一种将任意长度内容转换为四个整数的单向函数。由于它找的是一小段字符串的 MD5,所以我们没法恢复出它想要找的真正原文是什么。

总共有四对这样的 (size, A, B, C, D),分别是:

       23, 0x1C6389BA, 0xF2FA5666, 0xF2A2E0D3, 0xC892E7BA 34, 0xB829484C, 0x520F7CC3, 0x94EC8A73, 0xD808E79 30, 0xDDA1029, 0x9E67F3BB, 0xB18ACC45, 0x597CF438 21, 0x2564591C, 0x5B11347B, 0x846A0F72, 0xEF704A8     

我们只能暴力破解 23 个字符、34 个字符……,天文数字的计算耗时,非常困难。





?吗

不困难,因为 QQ/TIM 要找的东西肯定有机会出现在用户的历史记录里

把自己多年丰富的历史记录全部翻出来主动喂给这个算法就好。

       23, 0x1C6389BA, 0xF2FA5666, 0xF2A2E0D3, 0xC892E7BA ://S.TAOBAO.COM/SEARCH?  34, 0xB829484C, 0x520F7CC3, 0x94EC8A73, 0xD808E79 LIST.TMALL.COM/SEARCH_PRODUCT.HTM?  30, 0xDDA1029, 0x9E67F3BB, 0xB18ACC45, 0x597CF438 (未知)  21, 0x2564591C, 0x5B11347B, 0x846A0F72, 0xEF704A8 SEARCH.JD.COM/SEARCH?     

只找到了其中的三个,它在寻找 淘宝、天猫、京东 的历史搜索记录

接下来根据一位幽灵的托梦,我了解到它会截取 URL 后面的 q=... 和 keyword=... 两种搜索参数,它包含了在网页上输入的搜索内容。

针对搜索的内容,它又故技重施,(目前只有)有以下的六条内容匹配。

       # group 1 18, 0x8C2F8C3B, 0x9CA6DB69, 0x663C9537, 0xA0B64B58 7, 0x966DC59E, 0x592F2331, 0x6D2BF021, 0xA1D96C3C  # group 2 18, 0x7FACF63C, 0xBEC2FCB0, 0xBE8836F6, 0x167CC273 18, 0x46B6D8D7, 0x8AA82723, 0xBE19FA24, 0x670E160C  # group 3 18, 0xE235F85E, 0x5C924D20, 0xA61B84AC, 0x4BC792DD 18, 0x79088BEC, 0xF29CC9E8, 0xBF920D9, 0x455AE9ED     

在我的浏览记录里,恰好找到了第二和第四条的内容为

       7, 0x966DC59E, 0x592F2331, 0x6D2BF021, 0xA1D96C3C VINTAGE  18, 0x46B6D8D7, 0x8AA82723, 0xBE19FA24, 0x670E160C %E8%9E%8D%E8%B5%84     

%E8%9E%8D%E8%B5%84 这18个字是“融资”的 URL 里的编码。

结合这个发现,联想到 18 = 3*6,再结合 一个汉字等于3个字节 的事实。不难理解,剩下的四个 size 为 18 的未知字符很有可能都同样是汉字双字词

汉字虽多,但是实际上通用规范汉字表常用字集只有3500字,两个字就遍历两层即可,百万级别的循环对于电脑来说还是轻松简单的。另外还有有趣的朋友们提供的汉字双字词表,遍历起来就更快了。

       # group 1 18, 0x8C2F8C3B, 0x9CA6DB69, 0x663C9537, 0xA0B64B58   # 古着 7, 0x966DC59E, 0x592F2331, 0x6D2BF021, 0xA1D96C3C    # VINTAGE  # group 2 18, 0x7FACF63C, 0xBEC2FCB0, 0xBE8836F6, 0x167CC273   # 融券 18, 0x46B6D8D7, 0x8AA82723, 0xBE19FA24, 0x670E160C   # 融资  # group 3 18, 0xE235F85E, 0x5C924D20, 0xA61B84AC, 0x4BC792DD   # 炒股 18, 0x79088BEC, 0xF29CC9E8, 0xBF920D9, 0x455AE9ED    # 股票     

这就是 QQ/TIM 关心的全部关键词。然后或许可能我觉得会带着 skey=0x800915e 这个编号把搜索到的 group 组号 传上去服务器里。可以确定的是,它没有上传完整 URL,更没有上传所有浏览记录。


根据一位不知名妖怪所说:这份程序实现的成熟度很低,很可能只是一个初步的、实验性的或者说试探性的代码,以上清单也是固定在程序里的,不能下发任务控制 QQ 扫描其他的关键词。腾讯公司顶多就知道你是个会到天猫淘宝京东搜索炒股教程、融资技巧、和买二手衣服(?)的用户罢了。


什么叫用户画像啊?(战术后仰)


如是我闻。


20210118 更新

缺失的第三条网址原文,万能的知友找到了:

请移步 @Harrion 的回答: zhihu.com/question/4397

       uland.taobao.com/sem/tbsearch?     


user avatar   qwqdanchun 网友的相关建议: 
      

置顶:

腾讯已经下场回应了,这件事也算告一段落,我就从技术的角度来稍微讲解一下吧。

恶意登录对于QQ来说确实是一个需要考虑的问题,毕竟大多数人安全意识不高,而腾讯就必须做好这方面的防护(举个例子,绝大部分键盘记录软件是记录不到电脑版QQ输入的密码的,所以这些年很少有因为密码而被盗的QQ号),而恶意软件的一大收入来源就是广告推广,最常见的就是大家经常看到的购物广告。两者结合在一起,腾讯用这种办法检测恶意登录也是说得过去的。不过无论如何,读取浏览记录的行为还是不恰当的,希望腾讯能尽快找出更好的办法解决恶意登录这个问题。

PS:作为一个技术人员(大概算得上),我还是更喜欢讨论技术层面的问题,从昨天到今天看着这个问题在各个平台的扩散和评论,真的有些心累了,有人在夸大其词,有人在恶意揣测,我尽力的在解释,但是人们只愿意相信他们相信的,我叫不醒装睡的人,也叫不醒不想醒的人。我做了所有我能做的和我应该做的,还是希望大家也都可以冷静下来,理性的去讨论分析。

最后,感谢所有关心和安慰我的朋友,谢谢你们。


原文:

大家好,我就是 ([原创]关于QQ读取Chrome历史记录的澄清-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com) 这篇文章的作者 qwqdanchun ,昨天写的文章,今天突然涨了这么多热度,是我没想到的,没想到大家对这个话题这么有兴趣。所以特地把知乎号删了重新注册来答题(别问,问就是有黑历史)。

下午到现在,我一直在刷各个平台对这个事情的帖子和评论,大部分人在关心自己的隐私问题,以及其他平台是否存在的问题,后面我会一一解答。就在写到这里时,看雪浏览量已经破了20万,知乎热榜第二,我觉得我还是需要出来说点什么。

首先是道歉,今天的时间,给看雪论坛带来了很大的影响,一个小众的安全论坛因为我的文章影响到了正常的运营,爆满的浏览量挤爆了带宽,多亏了站长及时维护,大家才能看到文章。

然后是关于我个人的一些情况和看法。大家关心隐私安全是应该的,但是我希望大家不要被带歪了节奏,就事论事,不要提升高度。不管是我还是 anhkgg (看雪论坛-安全社区|安全招聘|bbs.pediy.com) 等人都没有做到完整的逆向,并完整说出该模块的作用,在没有盖棺定论之前,就下结论是没有必要的。而且我也看到很多人借机起哄,煽风点火,试图将水搅浑或者火上浇油(别的不说知乎这热度就离谱),希望大家冷静看待,等待大佬的进一步分析或者腾讯的解释。至于有些人猜测的删帖和被威胁都是不存在的,看雪因为带宽爆满的原因访问不了都是暂时的,而且已经得到了缓解(此处再次感谢站长),至于我被威胁这事就更离谱了,我从下午就试图寻找腾讯的相关人员询问这件事,到现在都没找到人,腾讯没客服实锤了。

再然后就是偏技术向的部分,先做个总结吧,方便不太懂的同学们看懂,存在此操作的仅有电脑版QQ和TIM,微信和其他版本的QQ,TIM我今天和朋友陆续在分析,并没有找到类似操作。会被读取的只是浏览器历史记录,密码书签和cookies等是安全的。而浏览记录也不是直接上传,总体来说,大家的隐私还是较为安全的

下面是详细一点的解释,我在逆向时,确实只进行到读取数据库的操作就停下来了,并没有对前后的内容综合考虑,所以 ([原创]QQ后台读取历史记录?有点冤枉企鹅了!-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com) 这篇文章讲到的也很有道理。而综合考虑v2ex评论区 (QQ 正在尝试读取你的浏览记录 - V2EX) 中的图片,只是获取历史记录的url(也就是网站链接)并与一些购物和证券网站对比,对比成功的会上报。整个操作并不会涉及浏览器之外其他软件,也不会获取浏览记录之外的数据,获取到的数据也没有直接上传服务器。而且,由于有对电脑域的判断,可能确实有可能是失误(不过这么久没有发现确实不应该),是程序员写错了判断条件。

看来下,基本大家的问题都做了解释,最后,感谢大家对我和这篇文章的关注,也希望大家理性思考,等待后续。


user avatar   lokinko 网友的相关建议: 
      

有意思呀有意思~腾讯还搁这欺负老实人呢?

腾讯总部:深圳市南山区高新科技园中区一路腾讯大厦

《深圳经济特区数据暂行条例(草案)》12月28日提请深圳市人大常委会会议审议,这是我国首部数据领域的综合性专门立法,明确规定收集、处理涉及隐私的个人数据须得到明示同意。

《深圳经济特区数据条例(征求意见稿)》第十一条:

自然人对其个人数据依法享有数据权,任何组织或者个人不得侵犯。
自然人可以知悉并决定数据收集、处理者能否收集、处理其个人数据以及收集、处理的目的、方式、范围等内容;除法律、法规另有规定外,自然人有权拒绝数据收集、处理者处理其个人数据及衍生数据。
自然人可以向数据收集、处理者查阅或者复制其个人数据;发现个人数据有错误的,有权提出异议并请求及时采取更正等必要措施。
自然人发现数据收集、处理者违反法律、行政法规的规定或者双方的约定收集、处理其个人数据的,有权请求数据收集、处理者及时删除。

之前写过些对个人隐私保护重要性的看法:

最基本的隐私数据包括:身份信息(姓名、地址、身份证号等);网络数据(位置、IP地址、Cookie 数据、RFID 标签等);医疗保健和遗传数据;生物识别数据(虹膜、指纹等);种族或民族数据;政治观点及性取向等。

作为数据的产生者和拥有者,我们应当有个人隐私数据保护的权利。完全暴露和掠夺我们的隐私有益于企业的商业竞争力,提升商业服务质量,但是我们付出的成本远高于收益。

大数据杀熟已经被明令禁止,但隐私数据的侵犯还仍在进行。

况且......收集信息后是否有能力保护这些隐私信息也要打个问号。

目前在数据保护方面根本做不到权责对等,个人隐私数据的泄露就是对诈骗以及违法犯罪最大的助力,可是公司却很少因数据保护不力而受到处罚,作为数据使用方的企业更是只享受权利不承担责任,目前所谓的商业化与隐私保护的双赢,实际上还是商业化赢了两次(摊手)。


补充:欧美国家也在2018年正式出台个人隐私保护条例。

2018年5月25日,欧洲联盟正式实施《通用数据保护条例》(General Data Protection Regulation, GDPR)

补充:备受关注的《中华人民共和国个人信息保护法(草案)》提请十三届全国人大常委会第二十二次会议审议。

补充:官方回应读取浏览器历史记录问题,用于检测恶意和异常的访问逻辑,以此作为辅助手段去判断恶意客户端。




     

相关话题

  女子住酒店 2 天,退房时拉开窗帘发现窗外是一间会议室,酒店这样设计合规吗?是否侵犯了顾客的隐私? 
  大黄鱼为什么快要绝迹了? 
  为什么 Chrome 下不能用 JavaScript 复制到剪贴板? 
  红芯浏览器真的自带了假的证书用以监控 HTTPS 内容吗? 
  大家推荐一下,哪些学校的导师有在做量化交易、股票预测的? 
  如何看待林俊杰吊水带血针头和配套药水疑被医护人员出售? 
  如何看待 Google 说已经停用 Map Reduce 好多年? 
  为什么不少人抵制各个手机厂商的反诈系统? 
  QQ有哪些不为人知的bug? 
  你是否有过一段不堪回首的非主流时期,你可愿意说出来? 

前一个讨论
“国民饮料”汇源果汁退市,对此你怎么看?
下一个讨论
如何看待悟空问答 App 宣布下线?





© 2024-11-15 - tinynew.org. All Rights Reserved.
© 2024-11-15 - tinynew.org. 保留所有权利