QQ，真有你的

中国人对隐私问题的态度更加开放，也相对来说没那么敏感。如果他们可以用隐私换取便利、安全或者效率。在很多情况下，他们就愿意这么做。

———— 百度CEO 李彦宏

这两天QQ擅自收集用户浏览器历史记录、匹配关键词并可能上传的事儿火了。当天晚上知乎就冲到了热搜榜二，曝出此事的看雪论坛因为访问人数过多直接502。

影响范围
QQ Windows 9.0.4 (发布于2018/06/15)之后的版本 (thx: @ddsfeng #315)
TIM Windows 3.1.0 (发布于2020/07/29)之后的版本

具体行为
登录10分钟之后，读取浏览器浏览历史
读取 %LocalAppData% 目录下所有基于Chromium的浏览器历史记录；具体见@qwqdanchun #21 的分析
读取IE历史(FindFirstUrlCacheEntryW)，具体见 @raion #229
对读取到的url进行md5，并在本地进行比较 @swchzq #157
md5匹配的情况下，上传相应分组ID（主要为电商、股票等关键词），详见@Terang #166, @raion #229
第三个字符串应为 uland.taobao.com/sem/tbsearch? (来自知乎用户Harrion)

———— @mengyx https://www.v2ex.com/t/745030

结果......

登录十分钟后，翻看用户浏览器历史记录，然后匹配淘宝等电商网站的搜索链接，查找炒股、古着、投资等关键字，函数名字还写了report，这是为了判断是否是恶意登录。

不管你们信不信，反正我是信了（狗头）

火绒还因为这事儿躺着火了一波，hhhhhh