报告QQ扫描并上传用户的浏览器的历史记录

近期,有不少网友说,腾讯 QQ 和 QQ 办公版 TIM 会扫描用户的 Chrome 浏览器历史,搜索购物记录选择性上传,今天我就代领大家如何分析证实这一‘北鼻’的行为。

据了解:User Data\Default\History 是基于 Chrome/Chromium 浏览器默认历史纪录存放位置,但腾讯 QQ 并不是针对 Chrome,会遍历读取所有浏览器历史记录,确认会中招的浏览器包括但不限于如 Chrome、Chromium 等浏览器。

如何验证,开虚拟机装QQ、Chrome,然后打开Process Monitor开始等,规则过滤下。

真的看到了读取AppData\Local\Google\Chrome\User Data\Default\History等目录的操作。

这是证实了QQ和Chrome过不去啊,这我可不信,把规则去掉,重新翻了一下才发现果然是北鼻啊。。。


受害者人数令人震惊。 仔细查看即可发现,这是遍历Appdata \ Local \下的所有文件夹,然后添加User Data \ Default \ History来读取它。 用户数据\默认\历史记录是Google浏览器的默认历史记录存储位置(不熟悉Firefox之类的浏览器,并且不知道目录是什么),并且可以拍摄Chrome。

然后是时候研究为什么QQ这样做了,浏览器的历史记录读了什么?

连接x32dbg并找到用于动态调试的位置。

然后去IDA里直接反编译出来,如下(位置在AppUtil.dll中 .text:510EFB98 附近)


本节的逻辑很容易理解。 首先读取各种User Data \ Default \ History文件,然后将它们复制到Temp目录中的temphis.db。 回去看Procmom,那是对的。

之后操作简单。SQLite读取数据库,然后“select url from urls”。大家都知道这是在干什么。后面就不说了,有兴趣的可以自己看。

结论:QQ并没有刻意去读Chrome的历史,而是试图去读电脑里所有Google浏览器的历史,提取链接。浏览器包括但不限于Chrome、 Chromium、 360极速、 360安全、猎豹、 2345。

晚上过来剪辑。刚刚试过TIM,经典重现,比QQ还要离谱。我不多说,直接上图。


举报
评论 0