說(shuō)到近期討論熱烈的互聯(lián)網(wǎng)大事,QQ一定榜上有名。

1月15日,知名開(kāi)發(fā)者社區(qū)V2EX出現(xiàn)了一篇帖子,發(fā)帖人@mengyx表示,電腦上裝載的安全軟件“火絨”攔下了QQ的讀取操作,而QQ的讀取目標(biāo),竟然是Edge瀏覽器的歷史記錄。

V2EX原帖內(nèi)容

此帖一出,輿論嘩然,多個(gè)用戶(hù)通過(guò)場(chǎng)景復(fù)現(xiàn)后發(fā)現(xiàn),遭到QQ“毒手”的瀏覽器,并不只有Edge一家:Chrome、360、獵豹等國(guó)內(nèi)知名瀏覽器的歷史記錄都會(huì)被QQ讀取,并且會(huì)對(duì)用戶(hù)的瀏覽網(wǎng)址進(jìn)行分類(lèi)。

除了QQ外,很多工作黨使用的即時(shí)通訊軟件TIM也出現(xiàn)了類(lèi)似情況,并且已經(jīng)持續(xù)了一年多。值得慶幸的是,多名開(kāi)發(fā)者在深扒代碼后表示,目前QQ尚未裝載將記錄上傳的功能,也不會(huì)讀取歷史記錄的具體內(nèi)容。

昨天,QQ團(tuán)隊(duì)也正式發(fā)布公告稱(chēng),QQ檢索瀏覽器記錄是為了檢測(cè)一些惡意網(wǎng)站,從而讓用戶(hù)不會(huì)受到與之相關(guān)的偽造QQ客戶(hù)端的困擾。對(duì)于QQ訪問(wèn)用戶(hù)數(shù)據(jù)不規(guī)范的行為,QQ團(tuán)隊(duì)特地向大眾致歉,在后續(xù)推送的新版本中,QQ將更換惡意網(wǎng)站的監(jiān)測(cè)手段,并將原有方案移除。

從火絨安全工作室公布的后續(xù)代碼解析中,我們也看到目前QQ和Tim的最新版本(QQ版本號(hào):9．4．2．27666,Tim版本號(hào):3．3．0．21972)已經(jīng)移除了獲取瀏覽器歷史記錄的相關(guān)代碼邏輯。

關(guān)于隱私的“烏龍”

其實(shí),騰訊軟件疑似侵犯隱私的操作已不是第一次。2018年,不少手機(jī)廠商推出了彈出式攝像頭手機(jī),但用戶(hù)發(fā)現(xiàn),當(dāng)他們使用QQ瀏覽器瀏覽某些網(wǎng)頁(yè)時(shí),vivo NEX等手機(jī)就會(huì)無(wú)故彈出攝像頭。

在面對(duì)大量用戶(hù)的質(zhì)疑后,QQ瀏覽器團(tuán)隊(duì)解釋稱(chēng),部分網(wǎng)頁(yè)的訪問(wèn)需要確認(rèn)手機(jī)攝像頭等硬件數(shù)據(jù)(例如獲取攝像頭信息并檢測(cè)攝像頭是否可用),從而觸發(fā)了彈出式手機(jī)的相機(jī)彈出機(jī)制。

后來(lái),知名開(kāi)源軟件Telegram也遇到了這一問(wèn)題,根據(jù)Telegram的代碼顯示,QQ瀏覽器團(tuán)隊(duì)的解釋是對(duì)的,這本質(zhì)上是谷歌沒(méi)有及時(shí)升級(jí)API的結(jié)果,QQ瀏覽器的嫌疑就此洗清。在之后,vivo也向用戶(hù)推送了“二次拍照確認(rèn)”的更新補(bǔ)丁,隱私之爭(zhēng)從此落下帷幕。

可以看到,QQ瀏覽器的“彈出”案例此次的瀏覽器事件很相似:開(kāi)發(fā)團(tuán)隊(duì)出于安全/保障軟件正常運(yùn)行的原因,對(duì)用戶(hù)部分機(jī)內(nèi)數(shù)據(jù)進(jìn)行了調(diào)用分析,在圍觀群眾看來(lái),這成了他們調(diào)用信息的鐵證。直到代碼解析結(jié)果出爐,大家才真相大白。

此次也是一樣,通過(guò)代碼解析后發(fā)現(xiàn),雖然QQ會(huì)自動(dòng)提取用戶(hù)的瀏覽鏈接并進(jìn)行網(wǎng)站分類(lèi),但它并沒(méi)有向服務(wù)器上傳相關(guān)信息。從安全角度來(lái)看,QQ團(tuán)隊(duì)所做的鏈接提取和關(guān)鍵詞分析功能是合理的,因?yàn)橐恍�熱詞(股票、融券、融資等)確實(shí)是惡意網(wǎng)站的植入重災(zāi)區(qū)。

雖然小雷本想總結(jié)稱(chēng),這是QQ和群眾之間的一次美麗誤會(huì),但在這個(gè)隱私時(shí)代下,事情似乎并沒(méi)有那么簡(jiǎn)單。

瀏覽記錄有什么用?

雖然QQ并沒(méi)有針對(duì)用戶(hù)搜索的具體內(nèi)容進(jìn)行分析,但你瀏覽網(wǎng)頁(yè)的時(shí)間、頻次和關(guān)鍵詞,也是互聯(lián)網(wǎng)數(shù)據(jù)“用戶(hù)畫(huà)像”的重要組成方式。早在電商時(shí)代,用戶(hù)畫(huà)像這一分析手段就被廣為運(yùn)用,如今互聯(lián)網(wǎng)巨頭言必稱(chēng)大數(shù)據(jù),用戶(hù)畫(huà)像成為了每個(gè)巨頭都關(guān)心的核心數(shù)據(jù)。

用戶(hù)畫(huà)像是真實(shí)用戶(hù)的虛擬代表,是建立在一系列真實(shí)數(shù)據(jù)之上的目標(biāo)用戶(hù)模型,用戶(hù)的性別年齡、社會(huì)身份、位置數(shù)據(jù)等都是用戶(hù)畫(huà)像的一部分。

目前,許多應(yīng)用(微信、抖音、百度App、淘寶)的隱私政策都明確規(guī)定,你在應(yīng)用生成的瀏覽信息、關(guān)鍵詞等數(shù)據(jù),應(yīng)用廠商有權(quán)進(jìn)行采集和分析。你收到的購(gòu)物推薦、新聞推送乃至垃圾廣告,都離不開(kāi)這些互聯(lián)網(wǎng)巨頭的畫(huà)像采集。

舉個(gè)例子,從你訪問(wèn)購(gòu)物網(wǎng)站的種類(lèi)和頻次,其實(shí)可以推斷出你的作息時(shí)間、消費(fèi)檔次和消費(fèi)特征。假設(shè)騰訊真的希望用QQ來(lái)校準(zhǔn)用戶(hù)畫(huà)像的話,那么QQ將瀏覽記錄根據(jù)網(wǎng)址和關(guān)鍵詞分門(mén)別類(lèi)地進(jìn)行整理也就不足為奇了,這些數(shù)據(jù)都是用戶(hù)畫(huà)像的重要依據(jù)。

而比用戶(hù)畫(huà)像更麻煩的,則是近幾年興起的“數(shù)字指紋”信息檢索。在傳統(tǒng)的用戶(hù)儲(chǔ)存文檔Cookie受到讀取限制后,互聯(lián)網(wǎng)廠商開(kāi)始采用更為便捷的手段來(lái)給用戶(hù)分類(lèi)。根據(jù)設(shè)備型號(hào)、系統(tǒng)版本、瀏覽器版本和屏幕字號(hào)等信息,廠商可以將信息精確到用戶(hù)個(gè)體,完成匹配度更高的身份識(shí)別。

雖然如今很多硬件制造商和瀏覽器廠商開(kāi)始混淆用戶(hù)版本,拉低數(shù)字指紋的精確性,但由于目前很多桌面應(yīng)用都沒(méi)有沙盒化運(yùn)行,瀏覽記錄反而成為了更簡(jiǎn)單的工具。你的訪問(wèn)頻度、訪問(wèn)時(shí)段和訪問(wèn)門(mén)類(lèi)構(gòu)成的數(shù)據(jù)組合,已經(jīng)能有效篩除掉大多數(shù)無(wú)關(guān)用戶(hù),實(shí)現(xiàn)從設(shè)備到人的用戶(hù)匹配。

我們?cè)撛趺醋?

雖然在互聯(lián)網(wǎng)時(shí)代,普通用戶(hù)的隱私保護(hù)程度節(jié)節(jié)后退,但僅就QQ事件來(lái)說(shuō),我們也并非沒(méi)有應(yīng)對(duì)手段。在Windows平臺(tái)上,我們可以通過(guò)安全軟件的規(guī)則定義功能,限制應(yīng)用的文件檢索范圍,并選擇性中斷應(yīng)用和部分服務(wù)器的數(shù)據(jù)連接,保證隱私安全。

而在Mac平臺(tái)上,我們也擁有專(zhuān)門(mén)為沙盒化應(yīng)用定制的Mac Apple Store。雖然如今不少M(fèi)ac應(yīng)用都會(huì)在官網(wǎng)上推出下載版,但Mac版官方應(yīng)用才是最安全的選擇,在蘋(píng)果的隱私審查下,這些蠢蠢欲動(dòng)的開(kāi)發(fā)者也只能死心。

不過(guò)從宏觀層面上講,法律才是最好的隱私守護(hù)神。歐洲于2018年出臺(tái)的GDPR法案和我國(guó)去年十月公布的《個(gè)人信息保護(hù)法(草案)》中,都明確規(guī)定了互聯(lián)網(wǎng)瀏覽記錄符合個(gè)人信息的法律范疇,針對(duì)瀏覽歷史的不規(guī)范訪問(wèn)行為或?qū)�徹底終結(jié),QQ團(tuán)隊(duì)的這一“失誤”,在未來(lái)不會(huì)成為常態(tài)。

來(lái)源:雷科技