这是一个创建于 543 天前的主题,其中的信息可能已经有所发展或是发生改变。
电脑上装有 Microsoft Teams 个人版,今天开机 msteamsupdate.exe 一直在请求两个神奇的域名。
collector.azure.microsoft.scloud collector.azure.eaglex.ic.gov 这两个域名没有解析到 AAAA 记录,自然是法连接的。 屡败屡战,完全没有控制发起频次, 从 8:33:01.242 到 8:33:59.608 一分钟时间里,两个进程(两个 PID)就请求了 49 次
================================================== Host Name : collector.azure.microsoft.scloud Query Type : AAAA Process Name : msteamsupdate.exe Time : 2024/6/21 8:32:41.876 Query Status : Error 9003 Process ID : 8308 Thread ID : 22488 Process Path : C:\Program Files\WindowsApps\MicrosoftTeams_24124.2402.2858.5617_x64__8wekyb3d8bbwe\msteamsupdate.exe ================================================== ================================================== Host Name : collector.azure.microsoft.scloud Query Type : AAAA Process Name : msteamsupdate.exe Time : 2024/6/21 8:32:45.989 Query Status : Error 9003 Process ID : 8580 Thread ID : 8452 Process Path : C:\Program Files\WindowsApps\MicrosoftTeams_24124.2402.2858.5617_x64__8wekyb3d8bbwe\msteamsupdate.exe ================================================== ================================================== Host Name : collector.azure.eaglex.ic.gov Query Type : AAAA Process Name : msteamsupdate.exe Time : 2024/6/21 8:32:47.611 Query Status : Error 9003 Query Result : Other Query Result: Process ID : 8308 Thread ID : 22488 ================================================== ================================================== Host Name : collector.azure.eaglex.ic.gov Query Type : AAAA Process Name : msteamsupdate.exe Time : 2024/6/21 8:32:48.081 Query Status : Error 9003 Query Result : Other Query Result: Process ID : 8308 Thread ID : 22488 Process Path : C:\Program Files\WindowsApps\MicrosoftTeams_24124.2402.2858.5617_x64__8wekyb3d8bbwe\msteamsupdate.exe 累计请求了好几百次吧,最后终于想起从
config.teams.microsoft.com 获取到了什么,总算消停了。
合理猜测: 第一个域名码错了,可能是
collector.azure.microsoft.[s]cloud 解析不到就以为自己在某种内网,开始连 ic-gov (我没记错的话所有.gov 域名都是美国政府机构?)。
想起 Microsoft 365 用户协议里有美国和加拿大的军队版条款,估计 Teams 也一样, 可能是版本没控制好。
美国真就是地球中心,一点水花都没有, 这种逻辑要在中国的 APP 上出现,会搞出不知道什么大新闻来。
Ref: [https://www.reddit.com/r/privacy/comments/1cstra9/suspicious_data_collection_after_windows_11/] [https://borncity.com/win/2024/05/14/strange-cloud-access-to-collector-azure/]
9 条回复 2024-06-21 12:35:58 +08:00
 | 1 xnplus 2024-06-21 10:01:21 +08:00 我国内迁到国际 365 ,现在首次跳转还是备案号,ticket 过了,还是无效 |
 | 2 fromdaytonight OP @xunandotme 看来账户隔离做的很差。我遇到的这问题应该也是 Bug ,把美国政府版的接入点放到了个人版逻辑里,是够傲慢的。 |
| 3 fromdaytonight OP |
 | 4 fruitmonster 2024-06-21 10:30:23 +08:00 我想知道这是用什么工具看的,是能查看某个应用请求的记录吗? |
 | 5 Ericality 2024-06-21 10:31:22 +08:00 想多了 国内 app 只会发起请求风暴 一秒钟十条不是问题 (在你用本地代理之后 如果拒绝某些 app 如美团对 sdk 域名的请求 你就会发现美团只要打开 3 分钟之内手机必然发烫 因为他在后台刷屏请求域名 更神奇的是这种状态下 app 还能用 就是经常容易报网络错误需要重试) |
 | 6 momo31 2024-06-21 10:36:52 +08:00 建议不用 |
| 7 fromdaytonight OP @fruitmonster Nirsoft 的小工具,DNSLookupView @Ericality 这请求逻辑一样差。我想说的是,假设美团更新个包访问个公网不存在的 gov-cn ,域名里带个 collector ,rabbity 之类的,第二天就能上 v2 首页,第三天就有某些国际媒体报道了。 @cksspk 没有主动打开,也不处于登录状态,至少托盘没图标。 |
 | 8 EIJAM 2024-06-21 11:44:33 +08:00 @fromdaytonight 想多了。pdd 直接利用 0day 攻击用户手机,也没你想的这么快 |
| 9 fromdaytonight OP @EIJAM pdd 用的不算 0day 吧?我不专业,看起来性质并非出了 CVE 然后紧急更新利用对应的漏洞,而是直接自己挖掘用黑客技术提权、技术对抗。 这个定义上更接近世纪初的“流氓软件”,当然叫间谍软件也没问题。类似当年 3721 上网助手这样的。 |
Select Language