chrome 插件 抓取网页qq聊天记录(这个年头应该还不会有人不知道QQ吧？|小编)

　　chrome 插件 抓取网页qq聊天记录(这个年头应该还不会有人不知道QQ吧？|小编)

　　今年应该没有人不知道QQ吧？很多人通过申请自己的QQ账号来学习上网。

　　QQ作为一款国家级的通讯类App，受到了众多粉丝的拥戴，多双眼睛的注视。

　　本周日，看学论坛成员qwqdanchun发帖称，QQ已阅读Chrome历史，引发强烈关注。该事件一度登上知乎热榜，看雪论坛原帖浏览量已超过20次，浏览量上千的看雪论坛一度挤占带宽，无法访问。

　　

　　那么，我就带大家一起来梳理一下这个事件。感谢 qwqdanchun 和 anhkgg 对本文技术部分的支持。

　　验证过程

　　以下内容由qwqdanchun提供。

　　打开虚拟机安装QQ、Chrome，然后打开进程监视器启动等。规则被简单地过滤。

　　

　　果然看到了读取AppData\Local\Google\Chrome\User Data\Default\History等目录的操作。

　　

　　而且时间正好十分钟。

　　

　　这才是QQ和Chrome打不通的实锤。

　　去掉规则，再次翻转，发现QQ已经遍历了Appdata\Local\下的所有文件夹，然后添加User Data\Default\History进行读取。

　　

　　User Data\Default\History 是谷歌浏览器默认的历史记录存储位置，Chrome 被拍是正常的。

　　接下来就是研究QQ为什么会这样了，浏览器历史读取是干什么用的？连接 x32dbg 并动态调试以找到位置。

　　

　　然后去IDA直接反编译，如下（位置在AppUtil.dll中.text:510EFB98附近）

　　

　　这一段的逻辑还是很容易理解的。先读取各种User Data\Default\History文件，复制到Temp目录下的temphis.db。

　　回去看看Procmom，果然。

　　

　　之后操作很简单，SQLite读取数据库，然后“select url from urls”。

　　此外，TIM 也未能幸免。

　　

　　

　　到此分析，“浏览器历史是干什么用的”这些问题似乎有了答案，但是ID为anhkgg的雪地论坛成员却对这个结论提出了质疑。

　　QQ阅读信息是否侵犯隐私？

　　以下是anhkgg的分析过程：

　　anhkgg 认为 只是临时将 chrome 历史文件复制到临时文件 temphis.db 中，然后刷 url 进行一些检测。在日志信息中看到关键字ptjcur Detect2。然后通过DeleteFile删除临时文件temphis.dbg，因为在读取历史记录和删除临时文件之间没有上传服务器这样的操作，都是在本地完成的。

　　因此，这种行为已经提到了用户隐私，这个结论确实略显不妥。

　　接下来更新深入细致的分析看看：

　　

　　与阅读历史相关的逻辑在一个线程中。线程会先判断dns域是否存在或存在SNGPERF，然后bint为1，那么后续的读取历史就不做了（这不是为了企鹅内部环境吗？）。

　　如果 bint 为 0，则开始检测。先通过urlcache读取url信息（ptjcur Detect1））（后面再读取chrome历史）。

　　

　　然后计算 url 的 md5 并与几个固定的 md5 值进行比较。

　　

　　如果md5匹配，会解析url解析后的参数&，然后继续做这个参数的md5计算，和一些md5比较，匹配到一块内存里。

　　经过这些简单的分析无法确定具体的后续行动，因此不能轻易得出结论。需要比对的url的md5如下。有条件的朋友可以去看看结果如何，然后企鹅要做什么就一目了然了。

　　0x1C6389BA，0xF2FA5666，0xF2A2E0D3，0xC892E7BA0xB829484C，0x520F7CC3，0x94EC8A73，0xD808E790xDDA1029，0x9E67F3BB，0xB18AC*敏*感*词*5，0x597CF4380x2564591C，0x5B11347B，0x846A0F72，0xEF704A8

　　综上所述

　　QQ会尝试读取电脑中所有基于谷歌的浏览器的历史记录并提取链接，并与一些网站进行对比，对比成功就会报出。整个操作不涉及浏览器以外的其他软件，也不获取浏览记录以外的数据，获取的数据不直接上传到服务器。

　　由于计算机领域的判断，可能会出现程序员的错误，也有可能会写错判断条件（但是过了这么久应该不会发现）。

　　目前确认招募的浏览器包括但不限于Chrome、Chromium、360极速、360安全、猎豹、2345等浏览器。

　　此操作存在于电脑版QQ、TIM、微信等QQ版本。将读取的所有内容是浏览器历史记录、密码书签和 cookie 等都是安全的。并且浏览记录不直接上传。一般来说，每个人的隐私都是比较安全的。

　　腾讯回应

　　腾讯今日回应此事，称QQ安全团队高度重视，已展开调查。发现PC QQ正在读取浏览器历史记录判断用户登录安全风险，读取的数据在本地PC QQ中使用。判断客户端是否恶意登录。所有相关数据都不会上传到云端、存储或用于任何其他目的。

　　据腾讯介绍，具体情况是，该操作是历史上已经推出的针对恶意登录的技术方案：因为系统识别出很多假QQ客户端会恶意访问多个网站作为初步辅助工作，所以在PC端QQ客户端增加了检测恶意异常的访问逻辑，作为判断恶意客户端的辅助手段。

　　腾讯为此事件致歉，目前正在梳理历史问题，加强用户数据访问规范。

　　腾讯表示，为了解决上述安全隐患，更换了检测恶意和异常请求的技术逻辑，并发布了新版PC QQ。为减少不便，即日起对所有受影响的PC QQ历史版本进行热更新并推送升级包。同时，上述操作在手机QQ中不存在，不受影响。

　　原帖链接：

　　* 关于QQ阅读Chrome历史的澄清(qwqdanchun)/thread-265359.htm

　　* QQ后台阅读历史？有点委屈的企鹅！(anhkgg)/thread-265373.htm