近日，“電腦端QQ讀取用戶浏覽器曆史記錄”在網上掀起讨論。多名技術人員實測發現，QQ确實讀取了用戶的谷歌Chrome浏覽器記錄。

1月18日下午，騰訊QQ在知乎回應稱，讀取的數據僅用于判斷是否為惡意登錄，不會上傳至雲端，不會儲存，也不會用于任何其他用途。

國家标準《信息安全技術 個人信息安全規範》規定，網頁浏覽記錄屬于個人敏感信息。專家指出，QQ讀取和分析用戶浏覽器曆史記錄的行為如果僅限于本地，并不侵犯隐私，但如果上傳至雲端，則是非常嚴重的侵犯隐私行為。

多位技術人員發現QQ讀取浏覽器曆史記錄

三天前，技術論壇V2EX上的一篇《QQ正在嘗試讀取你的浏覽記錄》的讨論帖引起關注。

該帖作者“mengyx”表示，前幾天下載了QQ桌面版，發現安全軟件提示“QQ.exe觸犯自定義防護規則”，并顯示被攔截的是QQ讀取Chrome浏覽器的用戶浏覽記錄行為。

從浏覽記錄中，可以分析出用戶訪問了哪些網頁，這是非常私密的個人信息。随後，多位技術人員在看雪論壇發帖作出進一步的逆向分析。

其中一位作者“qwqdanchun”測試發現，登錄十分鐘後，QQ開始讀取了“%LocalAppData%”目錄下所有基于Chromium的浏覽器曆史記錄，包括Chrome、360極速、360安全、獵豹、2345等浏覽器。

不僅如此，上述作者還發現TIM（簡潔版QQ）也讀取了浏覽器的曆史記錄。

18日上午，網絡安全專家、北京漢華飛天信安科技有限公司總工程師彭根在隐私護衛隊的委托下，也對QQ Windows 9.4.2（27662）進行了測試。

他發現，QQ确實讀取了Chrome的浏覽記錄，以及Firefox浏覽器的緩存記錄，包括“你浏覽了哪些網站，緩存了什麼圖片等”。“Windows是一個開放的系統，理論上任何軟件都可以讀取，但QQ是有目的性地找到了浏覽器存儲浏覽記錄的位置才去讀的。”

QQ讀取Firefox的緩存記錄和Chrome的浏覽記錄。

騰訊：用于判斷惡意登錄，不上傳

QQ讀取浏覽記錄後還有進一步的操作嗎？

技術人員“anhkgg”在看雪論壇分析說，QQ僅将浏覽記錄拷貝到本地的臨時文件中，對url（網絡地址）進行篩選後，便删除了這個文件。因此，并不能因為臨時讀取和“計算”了一下url，就判定侵犯用戶隐私。

不過，“anhkgg”強調：“QQ并不完全是無辜者，讀取用戶浏覽器曆史記錄是一個非常敏感的行為，必須讓用戶清楚地知道，它并沒用這些信息做什麼傷害用戶利益的事情。”

火絨安全的相關負責人也對隐私護衛隊證實QQ會讀取用戶浏覽器的曆史記錄，但目前尚未發現有将原始數據外洩的代碼邏輯。不過，QQ/Tim會使用MD5（一種編碼方式）以炒股、融資等為關鍵字比較曆史記錄中的搜索鍊接。

至于QQ是否将這些比較結果上傳了雲端，暫時沒有技術人員驗證出來。

1月18日下午，騰訊QQ在知乎上作出回應，承認電腦端QQ确實存在讀取浏覽器曆史記錄以判斷用戶登錄安全風險的情況。讀取的數據用于判斷是否為惡意登錄，所有相關數據不會上傳至雲端，不會儲存，也不會用于任何其他用途。

騰訊QQ解釋，因系統識别有不少僞造的QQ客戶端會惡意訪問多個網站作為前期輔助工作，因此在電腦端QQ中加入了檢測惡意和異常的訪問邏輯，以此作為輔助手段去判斷惡意客戶端。

騰訊QQ在知乎的回應。

專家：若未經用戶同意上傳則侵犯隐私

國家标準《信息安全技術 個人信息安全規範》規定，網頁浏覽記錄屬于個人敏感信息。

隐私護衛隊翻閱《騰訊隐私政策》發現，在“我們收集的信息”章節中，并未聲明QQ會收集用戶的浏覽器曆史記錄信息。那麼這一行為侵犯用戶隐私嗎？

北京清律律師事務所首席合夥人、主任熊定中認為，這取決于QQ讀取浏覽器曆史記錄後，有沒有上傳行為。

他分析說，如果隻是本地讀取、本地分析且沒有上傳行為的話，這實際相當于用戶的本地設備在運行和處理，是沒問題的。但隻要QQ将數據上傳到雲端進行分析，就脫離了用戶的控制範圍，必須取得用戶的知情同意，否則就是非常嚴重的侵犯用戶隐私的行為。

根據騰訊的回應，為解決上述安全風險問題，QQ已經更換了檢測惡意和異常請求的技術邏輯，并發布了全新的電腦端QQ版本。為減少不便，所有受影響的電腦端QQ曆史版本将于18日開始進行熱更新和推送升級包。

文/南都個人信息保護研究中心研究員 尤一炜

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!