文丨鋒科技(ID:feng_keji)
說到近期讨論熱烈的互聯網大事,QQ一定榜上有名。
1月15日,知名開發者社區V2EX出現了一篇帖子,發帖人@mengyx表示,電腦上裝載的安全軟件“火絨”攔下了QQ的讀取操作,而QQ的讀取目标,竟然是Edge浏覽器的曆史記錄。
V2EX原帖内容
此帖一出,輿論嘩然,多個用戶通過場景複現後發現,遭到QQ“毒手”的浏覽器,并不隻有Edge一家:Chrome、360、獵豹等國内知名浏覽器的曆史記錄都會被QQ讀取,并且會對用戶的浏覽網址進行分類。
除了QQ外,很多工作黨使用的即時通訊軟件Tim也出現了類似情況,并且已經持續了一年多。值得慶幸的是,多名開發者在深扒代碼後表示,目前QQ尚未裝載将記錄上傳的功能,也不會讀取曆史記錄的具體内容。
對此,QQ團隊也正式發布公告稱,QQ檢索浏覽器記錄是為了檢測一些惡意網站,從而讓用戶不會受到與之相關的僞造QQ客戶端的困擾。對于QQ訪問用戶數據不規範的行為,QQ團隊特地向大衆緻歉,在後續推送的新版本中,QQ将更換惡意網站的監測手段,并将原有方案移除。
從火絨安全工作室公布的後續代碼解析中,我們也看到目前QQ和Tim的最新版本(QQ版本号:9.4.2.27666,Tim版本号:3.3.0.21972)已經移除了獲取浏覽器曆史記錄的相關代碼邏輯。
關于隐私的“烏龍”
其實,騰訊軟件疑似侵犯隐私的操作已不是第一次。2018年,不少手機廠商推出了彈出式攝像頭手機,但用戶發現,當他們使用QQ浏覽器浏覽某些網頁時,vivo NEX等手機就會無故彈出攝像頭。
圖片來源:品玩
在面對大量用戶的質疑後,QQ浏覽器團隊解釋稱,部分網頁的訪問需要确認手機攝像頭等硬件數據(例如獲取攝像頭信息并檢測攝像頭是否可用),從而觸發了彈出式手機的相機彈出機制。
後來,知名開源軟件Telegram也遇到了這一問題,根據Telegram的代碼顯示,QQ浏覽器團隊的解釋是對的,這本質上是谷歌沒有及時升級API的結果,QQ浏覽器的嫌疑就此洗清。在之後,vivo也向用戶推送了“二次拍照确認”的更新補丁,隐私之争從此落下帷幕。
可以看到,QQ浏覽器的“彈出”案例此次的浏覽器事件很相似:開發團隊出于安全/保障軟件正常運行的原因,對用戶部分機内數據進行了調用分析,在圍觀群衆看來,這成了他們調用信息的鐵證。直到代碼解析結果出爐,大家才真相大白。
此次也是一樣,通過代碼解析後發現,雖然QQ會自動提取用戶的浏覽鍊接并進行網站分類,但它并沒有向服務器上傳相關信息。從安全角度來看,QQ團隊所做的鍊接提取和關鍵詞分析功能是合理的,因為一些熱詞(股票、融券、融資等)确實是惡意網站的植入重災區。
雖然小雷本想總結稱,這是QQ和群衆之間的一次美麗誤會,但在這個隐私時代下,事情似乎并沒有那麼簡單。
浏覽記錄有什麼用?
雖然QQ并沒有針對用戶搜索的具體内容進行分析,但你浏覽網頁的時間、頻次和關鍵詞,也是互聯網數據“用戶畫像”的重要組成方式。早在電商時代,用戶畫像這一分析手段就被廣為運用,如今互聯網巨頭言必稱大數據,用戶畫像成為了每個巨頭都關心的核心數據。
用戶畫像是真實用戶的虛拟代表,是建立在一系列真實數據之上的目标用戶模型,用戶的性别年齡、社會身份、位置數據等都是用戶畫像的一部分。
目前,許多應用(微信、抖音、百度App、淘寶)的隐私政策都明确規定,你在應用生成的浏覽信息、關鍵詞等數據,應用廠商有權進行采集和分析。你收到的購物推薦、新聞推送乃至垃圾廣告,都離不開這些互聯網巨頭的畫像采集。
舉個例子,從你訪問購物網站的種類和頻次,其實可以推斷出你的作息時間、消費檔次和消費特征。假設騰訊真的希望用QQ來校準用戶畫像的話,那麼QQ将浏覽記錄根據網址和關鍵詞分門别類地進行整理也就不足為奇了,這些數據都是用戶畫像的重要依據。
圖片來源:CleverTap
而比用戶畫像更麻煩的,則是近幾年興起的“數字指紋”信息檢索。在傳統的用戶儲存文檔Cookie受到讀取限制後,互聯網廠商開始采用更為便捷的手段來給用戶分類。根據設備型号、系統版本、浏覽器版本和屏幕字号等信息,廠商可以将信息精确到用戶個體,完成匹配度更高的身份識别。
雖然如今很多硬件制造商和浏覽器廠商開始混淆用戶版本,拉低數字指紋的精确性,但由于目前很多桌面應用都沒有沙盒化運行,浏覽記錄反而成為了更簡單的工具。你的訪問頻度、訪問時段和訪問門類構成的數據組合,已經能有效篩除掉大多數無關用戶,實現從設備到人的用戶匹配。
我們該怎麼做?
雖然在互聯網時代,普通用戶的隐私保護程度節節後退,但僅就QQ事件來說,我們也并非沒有應對手段。在Windows平台上,我們可以通過安全軟件的規則定義功能,限制應用的文件檢索範圍,并選擇性中斷應用和部分服務器的數據連接,保證隐私安全。
而在Mac平台上,我們也擁有專門為沙盒化應用定制的Mac Apple Store。雖然如今不少Mac應用都會在官網上推出下載版,但Mac版官方應用才是最安全的選擇,在蘋果的隐私審查下,這些蠢蠢欲動的開發者也隻能死心。
不過從宏觀層面上講,法律才是最好的隐私守護神。歐洲于2018年出台的GDPR法案和我國去年十月公布的《個人信息保護法(草案)》中,都明确規定了互聯網浏覽記錄符合個人信息的法律範疇,針對浏覽曆史的不規範訪問行為或将徹底終結,QQ團隊的這一“失誤”,在未來不會成為常态。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!