說到近期討論熱烈的互聯(lián)網(wǎng)大事,QQ一定榜上有名。

1月15日,知名開發(fā)者社區(qū)V2EX出現(xiàn)了一篇帖子,發(fā)帖人@mengyx表示,電腦上裝載的安全軟件“火絨”攔下了QQ的讀取操作,而QQ的讀取目標,竟然是Edge瀏覽器的歷史記錄。

V2EX原帖內(nèi)容

此帖一出,輿論嘩然,多個用戶通過場景復(fù)現(xiàn)后發(fā)現(xiàn),遭到QQ“毒手”的瀏覽器,并不只有Edge一家:Chrome、360、獵豹等國內(nèi)知名瀏覽器的歷史記錄都會被QQ讀取,并且會對用戶的瀏覽網(wǎng)址進行分類。

除了QQ外,很多工作黨使用的即時通訊軟件TIM也出現(xiàn)了類似情況,并且已經(jīng)持續(xù)了一年多。值得慶幸的是,多名開發(fā)者在深扒代碼后表示,目前QQ尚未裝載將記錄上傳的功能,也不會讀取歷史記錄的具體內(nèi)容。

昨天,QQ團隊也正式發(fā)布公告稱,QQ檢索瀏覽器記錄是為了檢測一些惡意網(wǎng)站,從而讓用戶不會受到與之相關(guān)的偽造QQ客戶端的困擾。對于QQ訪問用戶數(shù)據(jù)不規(guī)范的行為,QQ團隊特地向大眾致歉,在后續(xù)推送的新版本中,QQ將更換惡意網(wǎng)站的監(jiān)測手段,并將原有方案移除。

從火絨安全工作室公布的后續(xù)代碼解析中,我們也看到目前QQ和Tim的最新版本(QQ版本號:9．4．2．27666,Tim版本號:3．3．0．21972)已經(jīng)移除了獲取瀏覽器歷史記錄的相關(guān)代碼邏輯。

關(guān)于隱私的“烏龍”

其實,騰訊軟件疑似侵犯隱私的操作已不是第一次。2018年,不少手機廠商推出了彈出式攝像頭手機,但用戶發(fā)現(xiàn),當他們使用QQ瀏覽器瀏覽某些網(wǎng)頁時,vivo NEX等手機就會無故彈出攝像頭。

在面對大量用戶的質(zhì)疑后,QQ瀏覽器團隊解釋稱,部分網(wǎng)頁的訪問需要確認手機攝像頭等硬件數(shù)據(jù)(例如獲取攝像頭信息并檢測攝像頭是否可用),從而觸發(fā)了彈出式手機的相機彈出機制。

后來,知名開源軟件Telegram也遇到了這一問題,根據(jù)Telegram的代碼顯示,QQ瀏覽器團隊的解釋是對的,這本質(zhì)上是谷歌沒有及時升級API的結(jié)果,QQ瀏覽器的嫌疑就此洗清。在之后,vivo也向用戶推送了“二次拍照確認”的更新補丁,隱私之爭從此落下帷幕。

可以看到,QQ瀏覽器的“彈出”案例此次的瀏覽器事件很相似:開發(fā)團隊出于安全/保障軟件正常運行的原因,對用戶部分機內(nèi)數(shù)據(jù)進行了調(diào)用分析,在圍觀群眾看來,這成了他們調(diào)用信息的鐵證。直到代碼解析結(jié)果出爐,大家才真相大白。

此次也是一樣,通過代碼解析后發(fā)現(xiàn),雖然QQ會自動提取用戶的瀏覽鏈接并進行網(wǎng)站分類,但它并沒有向服務(wù)器上傳相關(guān)信息。從安全角度來看,QQ團隊所做的鏈接提取和關(guān)鍵詞分析功能是合理的,因為一些熱詞(股票、融券、融資等)確實是惡意網(wǎng)站的植入重災(zāi)區(qū)。

雖然小雷本想總結(jié)稱,這是QQ和群眾之間的一次美麗誤會,但在這個隱私時代下,事情似乎并沒有那么簡單。

瀏覽記錄有什么用?

雖然QQ并沒有針對用戶搜索的具體內(nèi)容進行分析,但你瀏覽網(wǎng)頁的時間、頻次和關(guān)鍵詞,也是互聯(lián)網(wǎng)數(shù)據(jù)“用戶畫像”的重要組成方式。早在電商時代,用戶畫像這一分析手段就被廣為運用,如今互聯(lián)網(wǎng)巨頭言必稱大數(shù)據(jù),用戶畫像成為了每個巨頭都關(guān)心的核心數(shù)據(jù)。

用戶畫像是真實用戶的虛擬代表,是建立在一系列真實數(shù)據(jù)之上的目標用戶模型,用戶的性別年齡、社會身份、位置數(shù)據(jù)等都是用戶畫像的一部分。

目前,許多應(yīng)用(微信、抖音、百度App、淘寶)的隱私政策都明確規(guī)定,你在應(yīng)用生成的瀏覽信息、關(guān)鍵詞等數(shù)據(jù),應(yīng)用廠商有權(quán)進行采集和分析。你收到的購物推薦、新聞推送乃至垃圾廣告,都離不開這些互聯(lián)網(wǎng)巨頭的畫像采集。

舉個例子,從你訪問購物網(wǎng)站的種類和頻次,其實可以推斷出你的作息時間、消費檔次和消費特征。假設(shè)騰訊真的希望用QQ來校準用戶畫像的話,那么QQ將瀏覽記錄根據(jù)網(wǎng)址和關(guān)鍵詞分門別類地進行整理也就不足為奇了,這些數(shù)據(jù)都是用戶畫像的重要依據(jù)。

而比用戶畫像更麻煩的,則是近幾年興起的“數(shù)字指紋”信息檢索。在傳統(tǒng)的用戶儲存文檔Cookie受到讀取限制后,互聯(lián)網(wǎng)廠商開始采用更為便捷的手段來給用戶分類。根據(jù)設(shè)備型號、系統(tǒng)版本、瀏覽器版本和屏幕字號等信息,廠商可以將信息精確到用戶個體,完成匹配度更高的身份識別。

雖然如今很多硬件制造商和瀏覽器廠商開始混淆用戶版本,拉低數(shù)字指紋的精確性,但由于目前很多桌面應(yīng)用都沒有沙盒化運行,瀏覽記錄反而成為了更簡單的工具。你的訪問頻度、訪問時段和訪問門類構(gòu)成的數(shù)據(jù)組合,已經(jīng)能有效篩除掉大多數(shù)無關(guān)用戶,實現(xiàn)從設(shè)備到人的用戶匹配。

我們該怎么做?

雖然在互聯(lián)網(wǎng)時代,普通用戶的隱私保護程度節(jié)節(jié)后退,但僅就QQ事件來說,我們也并非沒有應(yīng)對手段。在Windows平臺上,我們可以通過安全軟件的規(guī)則定義功能,限制應(yīng)用的文件檢索范圍,并選擇性中斷應(yīng)用和部分服務(wù)器的數(shù)據(jù)連接,保證隱私安全。

而在Mac平臺上,我們也擁有專門為沙盒化應(yīng)用定制的Mac Apple Store。雖然如今不少Mac應(yīng)用都會在官網(wǎng)上推出下載版,但Mac版官方應(yīng)用才是最安全的選擇,在蘋果的隱私審查下,這些蠢蠢欲動的開發(fā)者也只能死心。

不過從宏觀層面上講,法律才是最好的隱私守護神。歐洲于2018年出臺的GDPR法案和我國去年十月公布的《個人信息保護法(草案)》中,都明確規(guī)定了互聯(lián)網(wǎng)瀏覽記錄符合個人信息的法律范疇,針對瀏覽歷史的不規(guī)范訪問行為或?qū)�徹底終結(jié),QQ團隊的這一“失誤”,在未來不會成為常態(tài)。

來源:雷科技