此后,陸續(xù)有程序員進行驗證,發(fā)現(xiàn)QQ讀取瀏覽器歷史的行為包括:讀取瀏覽器瀏覽歷史,對讀取到的url進行md5,并在本地進行比較,在md5匹配的情況下,上傳相應(yīng)分組ID。
“我們深表歉意,內(nèi)部正梳理歷史問題并強化用戶數(shù)據(jù)訪問規(guī)范。”1月18日上午,騰訊回應(yīng)稱,PC QQ存在讀取瀏覽器歷史用以判斷用戶登錄安全風(fēng)險的情況,讀取的數(shù)據(jù)用于在PC QQ的本地客戶端中判斷是否惡意登錄。所有相關(guān)數(shù)據(jù)不會上傳至云端,不會儲存。
目前,騰訊表示,已更換了檢測惡意和異常請求的技術(shù)邏輯去解決問題,并發(fā)布全新的PC QQ版本。
有關(guān)專家表示,如果騰訊所述屬實,只是軟件本身讀取相關(guān)數(shù)據(jù),不上傳云端也不儲存,不構(gòu)成侵犯個人隱私。侵權(quán)關(guān)鍵在于是否存在“上傳騰訊服務(wù)器”行為,而并不是在于本地抓取與否。
一位名為mengyx的技術(shù)員在V2EX社區(qū)上發(fā)表了一篇名為《QQ 正在嘗試讀取你的瀏覽記錄》的帖子。
圖為網(wǎng)友mengyx發(fā)帖內(nèi)容
mengyx表示,在使用QQ的過程中,為了防止一些“流氓行為”,特地去 MS Store 里面安裝了 QQ 桌面版。由于其使用了火絨的自定義攔截功能,設(shè)置了一些重要或敏感數(shù)據(jù)目錄的保護。最后,mengyx得出結(jié)論,QQ正在嘗試讀取Chrome中的瀏覽記錄。
該帖發(fā)出后,引起眾多程序員的關(guān)注。網(wǎng)友qwqdanchun對此進行驗證,發(fā)現(xiàn)該讀取行為并非只針對Chrome,而是會試圖讀取電腦里所有谷歌系瀏覽器的歷史記錄并提取鏈接,確認會中招的瀏覽器包括但不限于Chrome、Chromium、360極速、360安全、獵豹、2345等瀏覽器。同時,該網(wǎng)友發(fā)現(xiàn),騰訊旗下的另一款辦公軟件TIM也存在讀取瀏覽器歷史的行為。
圖為網(wǎng)友qwqdanchun發(fā)帖內(nèi)容
此后,陸續(xù)有程序員對此問題進行了驗證。18日上午,mengyx總結(jié)稱, 涉及讀取瀏覽器歷史的軟件涉及QQ Windows 9.0.4之后的版本和TIM Windows 3.1.0)之后的版本,具體的行為包括:登錄10分鐘之后,讀取瀏覽器瀏覽歷史,對讀取到的url進行md5,并在本地進行比較,在md5匹配的情況下,上傳相應(yīng)分組ID(主要為電商、股票等關(guān)鍵詞)。
與此同時,也有人表示,QQ后臺讀取歷史記錄,或許并不是侵害用戶隱私。操作系統(tǒng)程序員Anhkgg在技術(shù)對比后認為,讀取歷史記錄和刪除臨時文件中間并沒有什么上傳服務(wù)器之類的操作,所有都是本地完成的,不能對QQ的行為下結(jié)論,不能因為臨時讀取和計算了一下url,就判定騰訊是對用戶隱私的侵害。
不過,Anhkgg也認同在這件事情中,QQ并不完全是無辜者,讀取用戶瀏覽器歷史記錄是一個非常敏感的行為,應(yīng)該必須讓用戶清楚得知道,你并沒有用此信息做什么傷害用戶利益的事情。
針對Anhkgg的看法,qwqdanchun向21世紀(jì)經(jīng)濟報道記者表示,自己的驗證只進行到了md5的對比,后面部分沒有進行逆向,因此不發(fā)表進一步的意見。如果時間允許,他將進行逆向后再發(fā)表評論。
18日上午,已認證為“騰訊QQ”的知乎賬號對此作出回應(yīng)稱,PC QQ存在讀取瀏覽器歷史用以判斷用戶登錄安全風(fēng)險的情況,讀取的數(shù)據(jù)用于在PC QQ的本地客戶端中判斷是否惡意登錄。所有相關(guān)數(shù)據(jù)不會上傳至云端,不會儲存,也不會用于任何其他用途。
具體情況為,該操作為歷史上線的一個對抗惡意登錄的技術(shù)解決方案:因系統(tǒng)識別有不少偽造的QQ客戶端會惡意訪問多個網(wǎng)站作為前期輔助工作,因此在PC QQ客戶端中加入了檢測惡意和異常的訪問邏輯,以此作為輔助手段去判斷惡意客戶端。
“對本次事件,我們深表歉意,內(nèi)部正梳理歷史問題并強化用戶數(shù)據(jù)訪問規(guī)范。”騰訊稱,目前,已經(jīng)更換了檢測惡意和異常請求的技術(shù)邏輯去解決上述安全風(fēng)險問題,并發(fā)布全新的PC QQ版本。為減少不便,所有受影響的PC QQ歷史版本將自1月18日開始進行熱更新和推送升級包。同時,手機端QQ不存在上述操作,不受影響。
21世紀(jì)經(jīng)濟報道記者查閱《騰訊服務(wù)協(xié)議》《隱私政策》和《QQ隱私保護指引》等文件,并未發(fā)現(xiàn)有關(guān)讀取瀏覽器歷史記錄的介紹。
“騰訊用這種辦法檢測惡意登錄也是說得過去的。不過無論如何,讀取瀏覽記錄的行為還是不恰當(dāng)?shù)模Mv訊能盡快找出更好的辦法解決惡意登錄這個問題。”對于騰訊方面的澄清,qwqdanchun如此回應(yīng)。
據(jù)mengyx最新更帖,17日晚間發(fā)布的QQ 9.4.2和TIM 3.3.0均移除了相應(yīng)代碼,暫停了讀取瀏覽器歷史的行為。
企業(yè)讀取瀏覽器的行為是否侵犯用戶隱私?
“任何公司在未告知用戶的情況下,讀取其瀏覽器歷史記錄的行為都是對用戶隱私的侵犯。”清律律師事務(wù)所首席合伙人熊定中向21世紀(jì)經(jīng)濟報道記者表示,瀏覽器歷史記錄既記載了個人隱私,又是敏感個人信息,是受到法律保護的。
具體到此次事件,熊定中認為,如果騰訊所述屬實,只是軟件本身讀取相關(guān)數(shù)據(jù),不上傳云端也不儲存,與騰訊相關(guān)系統(tǒng)無接觸,則不構(gòu)成侵犯個人隱私,因為軟件安裝在用戶個人電腦上,如果處理均在本地完成,那實際上不是“騰訊讀取瀏覽器歷史記錄”,而是“用戶安裝的一款軟件本地讀取其他瀏覽器歷史記錄”。因此,不構(gòu)成騰訊的不正當(dāng)行為。
“但據(jù)目前網(wǎng)友的描述,該款瀏覽器有一個‘在md5匹配的情況下,上傳相應(yīng)分組ID’的行為。如果描述屬實,這意味著,并不是‘本地處理’而是‘上傳騰訊服務(wù)器’,這個上傳的數(shù)據(jù)將被騰訊所掌握和控制,不管最終騰訊是否儲存,這個行為在沒有獲得用戶知情同意的情況下都是涉嫌侵權(quán)的。”熊定中表述,問題的核心在于,是否存在“上傳騰訊服務(wù)器”行為,而并不是在于本地抓取與否。
同時,熊定中提醒,隱私權(quán)和個人信息權(quán)益都是民法典人格權(quán)編規(guī)定的公民權(quán)利(權(quán)益),這屬于絕對權(quán),即只要未經(jīng)用戶同意,則破壞了用戶對自己人格權(quán)益的控制,可以根據(jù)民法典向法院主張自己的權(quán)益。對于大規(guī)模侵犯公民個人權(quán)益的行為,用戶也可以向相關(guān)監(jiān)管機構(gòu)例如網(wǎng)信辦或者市場監(jiān)督管理局舉報,或者申請檢察院、消協(xié)發(fā)起公益訴訟的方式維權(quán)。
更多內(nèi)容請下載21財經(jīng)APP
責(zé)編:李悟
介:在別人電腦上登錄QQ后,QQ軟件會自動記錄你的QQ號碼,這樣就存在安全風(fēng)險。
方法:刪除列表中的QQ號碼
步驟:
第一步:點擊輸入框旁邊的黑色小箭頭
第二步:點擊×號
第三步:勾選從列表中刪除此帳號
第四步:點擊【確定】
在瀏覽器上看什么,QQ 都知道?
這又是什么泄露隱私的新方式?
近日,一篇名為《QQ 正在嘗試讀取你的瀏覽記錄》的文章引起了網(wǎng)友熱議,一度沖上了知乎熱榜第二。
怎么回事呢?
原來有網(wǎng)友發(fā)現(xiàn) QQ 正在嘗試讀取你的所有瀏覽記錄。
看到這一消息,網(wǎng)友們沸騰了:
啊這......我在瀏覽器上的小秘密都保不住了??
我就想知道 QQ 收集這個干什么呢?
甚至有網(wǎng)友還翻起了 10 年的舊賬,調(diào)侃道:
原來 360 說 QQ 流氓是對的。
那么,網(wǎng)友是如何發(fā)現(xiàn) QQ 這一行為的呢?
這還要從某技術(shù)大佬的一篇帖子說起。
1 月 15 日,在 V2EX 互聯(lián)網(wǎng)論壇上,有網(wǎng)友貼出了這樣一個帖子:
"前些天用 QQ,為了防止一些流氓行為,特地去的 MS Store 里面安裝的 QQ 桌面版。幸好之前用火絨的自定義攔截功能,設(shè)置了一些重要或敏感數(shù)據(jù)目錄的保護。
隨后這位網(wǎng)友貼出了一張疑似 QQ 收集用戶瀏覽器記錄的攔截日志截圖:
從日志截圖上看,QQ 正在嘗試訪問微軟的 Edge 瀏覽器的用戶目錄里面的 History 目錄,這個目錄存放著用戶使用 Edge 瀏覽器進行瀏覽過的網(wǎng)頁記錄信息。
此外,該網(wǎng)友也指出,QQ 在登錄 10 分鐘后,就會開始掃描 Appdate\Local 下的所有文件夾。并對其中 User Data\Default\History文件進一步的掃描,而該文件就是 Chrome 瀏覽器默認歷史記錄存放位置。
并且,微軟 edge,360 瀏覽器,獵豹瀏覽器,Chrome 瀏覽器無一幸免。
也就是說,當(dāng)你登陸 10 分鐘之后,你的瀏覽器記錄就都被掃描讀取了。
不過,也有網(wǎng)友@qwqdanchun 質(zhì)疑這是不是個例呢?
于是他用虛擬機裝上 QQ 和 Chrome 驗證了一下。
10 分鐘后,果然看到了讀取 AppData\Local\Google\Chrome\User Data\Default\History 等目錄的操作。
那么,QQ 讀取到的瀏覽器歷史記錄又拿來干啥了呢?
這位網(wǎng)友又進行了進一步的分析,掛上 x32dbg,動態(tài)調(diào)試找到位置,然后去 IDA 里直接反編譯出來,就得到了如下結(jié)果:
可以確認的是 QQ 確實會讀取瀏覽器的歷史記錄,但讀取鏈接用來干什么,目前還不清楚。
此外,也有網(wǎng)友 @mengyx 爆料稱,這樣的操作,QQ 和 TIM 起碼干了有一年半的時間了。
今日,網(wǎng)友 @qwqdanchun 在知乎上再次回應(yīng)了此事,他表示:
希望大家明確兩點,首先只是陳述事實,這并不能證明騰訊在竊取用戶隱私,而這樣的操作也僅僅只存在于電腦版 QQ 和 TIM,微信和其他版本的QQ,TIM,并沒有找到此類操作。
其次,被讀取的只是瀏覽器歷史記錄,密碼書簽和 cookies 等是安全的。而瀏覽記錄也不是直接上傳。
就此問題,雷鋒網(wǎng)也詢問了騰訊方面,騰訊對此回應(yīng)稱:
該操作是一個對抗惡意登錄的技術(shù)解決方案,因系統(tǒng)識別有不少偽造的 QQ 客戶端會惡意訪問多個網(wǎng)站作為前期輔助工作,因此在 PC QQ 客戶端中加入了檢測惡意的異常的訪問邏輯。
同時,騰訊也強調(diào)讀取的數(shù)據(jù)不會上傳至云端,不會儲存,也不會用于其他用途。
目前,已更換了檢測惡意和異常請求的技術(shù)邏輯去解決上述安全風(fēng)險問題,并發(fā)布全新的 PC QQ 版本。
附騰訊知乎回應(yīng)全文:
近日,我們收到外部反饋稱PC QQ掃描讀取瀏覽器歷史記錄。QQ安全團隊高度重視并展開調(diào)查,發(fā)現(xiàn)PC QQ存在讀取瀏覽器歷史用以判斷用戶登錄安全風(fēng)險的情況,讀取的數(shù)據(jù)用于在PC QQ的本地客戶端中判斷是否惡意登錄。所有相關(guān)數(shù)據(jù)不會上傳至云端,不會儲存,也不會用于任何其他用途。
具體情況為,該操作為歷史上線的一個對抗惡意登錄的技術(shù)解決方案:因系統(tǒng)識別有不少偽造的QQ客戶端會惡意訪問多個網(wǎng)站作為前期輔助工作,因此在PC QQ客戶端中加入了檢測惡意和異常的訪問邏輯,以此作為輔助手段去判斷惡意客戶端。
對本次事件,我們深表歉意,內(nèi)部正梳理歷史問題并強化用戶數(shù)據(jù)訪問規(guī)范。目前,我們已經(jīng)更換了檢測惡意和異常請求的技術(shù)邏輯去解決上述安全風(fēng)險問題,并發(fā)布全新的PC QQ版本。為減少不便,所有受影響的PC QQ歷史版本將在今天開始進行熱更新和推送升級包。同時,手機端QQ不存在上述操作,不受影響。
最后,感謝各位技術(shù)愛好者的監(jiān)督,我們也歡迎大家向騰訊安全應(yīng)急響應(yīng)中心(騰訊安全應(yīng)急響應(yīng)中心 )提交報告。
雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)
參考資料:
【1】https://www.zhihu.com/question/439768601
【2】https://www.zhihu.com/question/439768601/answer/1683913941
【3】https://www.v2ex.com/t/745030
【4】https://www.toutiao.com/a6918691679809618445/
【5】https://bbs.pediy.com/thread-265373.htm
【6】https://bbs.pediy.com/thread-265359.htm
【7】https://ti.qq.com/agreement/qqface.html?appname=mqq_2019