报告QQ扫描并上传用户的浏览器的历史记录

近期，有不少网友说，腾讯 QQ 和 QQ 办公版 TIM 会扫描用户的 Chrome 浏览器历史，搜索购物记录选择性上传，今天我就代领大家如何分析证实这一‘北鼻’的行为。

据了解：User Data\Default\History 是基于 Chrome/Chromium 浏览器默认历史纪录存放位置，但腾讯 QQ 并不是针对 Chrome，会遍历读取所有浏览器历史记录，确认会中招的浏览器包括但不限于如 Chrome、Chromium 等浏览器。

如何验证，开虚拟机装QQ、Chrome，然后打开Process Monitor开始等，规则过滤下。

真的看到了读取AppData\Local\Google\Chrome\User Data\Default\History等目录的操作。

这是证实了QQ和Chrome过不去啊，这我可不信，把规则去掉，重新翻了一下才发现果然是北鼻啊。。。

受害者人数令人震惊。 仔细查看即可发现，这是遍历Appdata \ Local \下的所有文件夹，然后添加User Data \ Default \ History来读取它。 用户数据\默认\历史记录是Google浏览器的默认历史记录存储位置（不熟悉Firefox之类的浏览器，并且不知道目录是什么），并且可以拍摄Chrome。

然后是时候研究为什么QQ这样做了，浏览器的历史记录读了什么？

连接x32dbg并找到用于动态调试的位置。

然后去IDA里直接反编译出来，如下（位置在AppUtil.dll中 .text:510EFB98 附近）

本节的逻辑很容易理解。 首先读取各种User Data \ Default \ History文件，然后将它们复制到Temp目录中的temphis.db。 回去看Procmom，那是对的。

之后操作简单。SQLite读取数据库，然后“select url from urls”。大家都知道这是在干什么。后面就不说了，有兴趣的可以自己看。

结论：QQ并没有刻意去读Chrome的历史，而是试图去读电脑里所有Google浏览器的历史，提取链接。浏览器包括但不限于Chrome、 Chromium、 360极速、 360安全、猎豹、 2345。

晚上过来剪辑。刚刚试过TIM，经典重现，比QQ还要离谱。我不多说，直接上图。