2021年1月21日 來(lái)源:防爆云平臺(tái)--防爆產(chǎn)業(yè)鏈服務(wù)平臺(tái) 防爆空調(diào) 防爆電氣 防爆電機(jī) 防爆風(fēng)機(jī) 防爆通訊 瀏覽 3163 次 評(píng)論 0 次
文丨鋒科技(ID:feng_keji)
說(shuō)到近期討論熱烈的互聯(lián)網(wǎng)大事����,QQ一定榜上有名��。
1月15日��,知名開(kāi)發(fā)者社區(qū)V2EX出現(xiàn)了一篇帖子����,發(fā)帖人@mengyx表示����,電腦上裝載的安全軟件“火絨”攔下了QQ的讀取操作,而QQ的讀取目標(biāo)��,竟然是Edge瀏覽器的歷史記錄��。
V2EX原帖內(nèi)容
此帖一出����,輿論嘩然,多個(gè)用戶通過(guò)場(chǎng)景復(fù)現(xiàn)后發(fā)現(xiàn)��,遭到QQ“毒手”的瀏覽器��,并不只有Edge一家:Chrome����、360��、獵豹等國(guó)內(nèi)知名瀏覽器的歷史記錄都會(huì)被QQ讀取����,并且會(huì)對(duì)用戶的瀏覽網(wǎng)址進(jìn)行分類�����。
除了QQ外��,很多工作黨使用的即時(shí)通訊軟件TIM也出現(xiàn)了類似情況����,并且已經(jīng)持續(xù)了一年多��。值得慶幸的是��,多名開(kāi)發(fā)者在深扒代碼后表示����,目前QQ尚未裝載將記錄上傳的功能,也不會(huì)讀取歷史記錄的具體內(nèi)容��。
對(duì)此����,QQ團(tuán)隊(duì)也正式發(fā)布公告稱,QQ檢索瀏覽器記錄是為了檢測(cè)一些惡意網(wǎng)站�����,從而讓用戶不會(huì)受到與之相關(guān)的偽造QQ客戶端的困擾��。對(duì)于QQ訪問(wèn)用戶數(shù)據(jù)不規(guī)范的行為�����,QQ團(tuán)隊(duì)特地向大眾致歉����,在后續(xù)推送的新版本中,QQ將更換惡意網(wǎng)站的監(jiān)測(cè)手段��,并將原有方案移除����。
從火絨安全工作室公布的后續(xù)代碼解析中,我們也看到目前QQ和Tim的新版本(QQ版本號(hào):9.4.2.27666��,Tim版本號(hào):3.3.0.21972)已經(jīng)移除了獲取瀏覽器歷史記錄的相關(guān)代碼邏輯。
關(guān)于隱私的“烏龍”
其實(shí)����,騰訊軟件疑似侵犯隱私的操作已不是第一次。2018年�����,不少手機(jī)廠商推出了彈出式攝像頭手機(jī)����,但用戶發(fā)現(xiàn)��,當(dāng)他們使用QQ瀏覽器瀏覽某些網(wǎng)頁(yè)時(shí)�����,vivo NEX等手機(jī)就會(huì)無(wú)故彈出攝像頭��。
圖片來(lái)源:品玩
在面對(duì)大量用戶的質(zhì)疑后,QQ瀏覽器團(tuán)隊(duì)解釋稱��,部分網(wǎng)頁(yè)的訪問(wèn)需要確認(rèn)手機(jī)攝像頭等硬件數(shù)據(jù)(例如獲取攝像頭信息并檢測(cè)攝像頭是否可用),從而觸發(fā)了彈出式手機(jī)的相機(jī)彈出機(jī)制�����。
后來(lái)�����,知名開(kāi)源軟件Telegram也遇到了這一問(wèn)題��,根據(jù)Telegram的代碼顯示�����,QQ瀏覽器團(tuán)隊(duì)的解釋是對(duì)的�����,這本質(zhì)上是谷歌沒(méi)有及時(shí)升級(jí)API的結(jié)果����,QQ瀏覽器的嫌疑就此洗清。在之后�����,vivo也向用戶推送了“二次拍照確認(rèn)”的更新補(bǔ)丁,隱私之爭(zhēng)從此落下帷幕����。
可以看到����,QQ瀏覽器的“彈出”案例此次的瀏覽器事件很相似:開(kāi)發(fā)團(tuán)隊(duì)出于安全/保障軟件正常運(yùn)行的原因,對(duì)用戶部分機(jī)內(nèi)數(shù)據(jù)進(jìn)行了調(diào)用分析����,在圍觀群眾看來(lái),這成了他們調(diào)用信息的鐵證�����。直到代碼解析結(jié)果出爐��,大家才真相大白����。
此次也是一樣����,通過(guò)代碼解析后發(fā)現(xiàn)�����,雖然QQ會(huì)自動(dòng)提取用戶的瀏覽鏈接并進(jìn)行網(wǎng)站分類�����,但它并沒(méi)有向服務(wù)器上傳相關(guān)信息��。從安全角度來(lái)看����,QQ團(tuán)隊(duì)所做的鏈接提取和關(guān)鍵詞分析功能是合理的��,因?yàn)橐恍嵩~(股票�����、融券����、融資等)確實(shí)是惡意網(wǎng)站的植入重災(zāi)區(qū)。
雖然小雷本想總結(jié)稱,這是QQ和群眾之間的一次美麗誤會(huì)����,但在這個(gè)隱私時(shí)代下,事情似乎并沒(méi)有那么簡(jiǎn)單����。
瀏覽記錄有什么用?
雖然QQ并沒(méi)有針對(duì)用戶搜索的具體內(nèi)容進(jìn)行分析����,但你瀏覽網(wǎng)頁(yè)的時(shí)間、頻次和關(guān)鍵詞����,也是互聯(lián)網(wǎng)數(shù)據(jù)“用戶畫像”的重要組成方式。早在電商時(shí)代����,用戶畫像這一分析手段就被廣為運(yùn)用����,如今互聯(lián)網(wǎng)巨頭言必稱大數(shù)據(jù),用戶畫像成為了每個(gè)巨頭都關(guān)心的核心數(shù)據(jù)�����。
用戶畫像是真實(shí)用戶的虛擬代表,是建立在一系列真實(shí)數(shù)據(jù)之上的目標(biāo)用戶模型,用戶的性別年齡��、社會(huì)身份��、位置數(shù)據(jù)等都是用戶畫像的一部分����。
目前,許多應(yīng)用(微信��、抖音����、百度App、淘寶)的隱私政策都明確規(guī)定�����,你在應(yīng)用生成的瀏覽信息����、關(guān)鍵詞等數(shù)據(jù),應(yīng)用廠商有權(quán)進(jìn)行采集和分析��。你收到的購(gòu)物推薦、新聞推送乃至垃圾廣告����,都離不開(kāi)這些互聯(lián)網(wǎng)巨頭的畫像采集。
舉個(gè)例子�����,從你訪問(wèn)購(gòu)物網(wǎng)站的種類和頻次��,其實(shí)可以推斷出你的作息時(shí)間�����、消費(fèi)檔次和消費(fèi)特征��。假設(shè)騰訊真的希望用QQ來(lái)校準(zhǔn)用戶畫像的話����,那么QQ將瀏覽記錄根據(jù)網(wǎng)址和關(guān)鍵詞分門別類地進(jìn)行整理也就不足為奇了,這些數(shù)據(jù)都是用戶畫像的重要依據(jù)����。
圖片來(lái)源:CleverTap
而比用戶畫像更麻煩的�����,則是近幾年興起的“數(shù)字指紋”信息檢索。在傳統(tǒng)的用戶儲(chǔ)存文檔Cookie受到讀取限制后�����,互聯(lián)網(wǎng)廠商開(kāi)始采用更為便捷的手段來(lái)給用戶分類����。根據(jù)設(shè)備型號(hào)、系統(tǒng)版本����、瀏覽器版本和屏幕字號(hào)等信息,廠商可以將信息到用戶個(gè)體����,完成匹配度更高的身份識(shí)別。
雖然如今很多硬件制造商和瀏覽器廠商開(kāi)始混淆用戶版本��,拉低數(shù)字指紋的性�����,但由于目前很多桌面應(yīng)用都沒(méi)有沙盒化運(yùn)行����,瀏覽記錄反而成為了更簡(jiǎn)單的工具����。你的訪問(wèn)頻度�����、訪問(wèn)時(shí)段和訪問(wèn)門類構(gòu)成的數(shù)據(jù)組合�����,已經(jīng)能有效篩除掉大多數(shù)無(wú)關(guān)用戶����,實(shí)現(xiàn)從設(shè)備到人的用戶匹配。
我們?cè)撛趺醋觯?/span>
雖然在互聯(lián)網(wǎng)時(shí)代��,普通用戶的隱私保護(hù)程度節(jié)節(jié)后退�����,但僅就QQ事件來(lái)說(shuō)����,我們也并非沒(méi)有應(yīng)對(duì)手段��。在Windows平臺(tái)上,我們可以通過(guò)安全軟件的規(guī)則定義功能��,限制應(yīng)用的文件檢索范圍��,并選擇性中斷應(yīng)用和部分服務(wù)器的數(shù)據(jù)連接��,保證隱私安全��。
而在Mac平臺(tái)上����,我們也擁有專門為沙盒化應(yīng)用定制的Mac Apple Store。雖然如今不少M(fèi)ac應(yīng)用都會(huì)在官網(wǎng)上推出下載版��,但Mac版官方應(yīng)用才是安全的選擇�����,在蘋果的隱私審查下����,這些蠢蠢欲動(dòng)的開(kāi)發(fā)者也只能死心。
不過(guò)從宏觀層面上講��,法律才是的隱私守護(hù)神。歐洲于2018年出臺(tái)的GDPR法案和我國(guó)去年十月公布的《個(gè)人信息保護(hù)法(草案)》中����,都明確規(guī)定了互聯(lián)網(wǎng)瀏覽記錄符合個(gè)人信息的法律范疇,針對(duì)瀏覽歷史的不規(guī)范訪問(wèn)行為或?qū)氐捉K結(jié)��,QQ團(tuán)隊(duì)的這一“失誤”����,在未來(lái)不會(huì)成為常態(tài)。
網(wǎng)絡(luò)警察提醒你
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
掃黃打非網(wǎng)舉報(bào)專區(qū)