QQ隐私事件深究:仅靠“技术说辞”,不能安抚大众

锋见

锋见

· 1月21日

公众隐私又一次浮上水面。

播放 暂停

QQ隐私事件深究:仅靠“技术说辞”,不能安抚大众

00:00 06:32

文丨锋科技(ID:feng_keji)

说到近期讨论热烈的互联网大事,QQ一定榜上有名。

1月15日,知名开发者社区V2EX出现了一篇帖子,发帖人@mengyx表示,电脑上装载的安全软件“火绒”拦下了QQ的读取操作,而QQ的读取目标,竟然是Edge浏览器的历史记录。


V2EX原帖内容

V2EX原帖内容

此帖一出,舆论哗然,多个用户通过场景复现后发现,遭到QQ“毒手”的浏览器,并不只有Edge一家:Chrome、360、猎豹等国内知名浏览器的历史记录都会被QQ读取,并且会对用户的浏览网址进行分类。

除了QQ外,很多工作党使用的即时通讯软件TIM也出现了类似情况,并且已经持续了一年多。值得庆幸的是,多名开发者在深扒代码后表示,目前QQ尚未装载将记录上传的功能,也不会读取历史记录的具体内容。

对此,QQ团队也正式发布公告称,QQ检索浏览器记录是为了检测一些恶意网站,从而让用户不会受到与之相关的伪造QQ客户端的困扰。对于QQ访问用户数据不规范的行为,QQ团队特地向大众致歉,在后续推送的新版本中,QQ将更换恶意网站的监测手段,并将原有方案移除。

从火绒安全工作室公布的后续代码解析中,我们也看到目前QQ和Tim的最新版本(QQ版本号:9.4.2.27666,Tim版本号:3.3.0.21972)已经移除了获取浏览器历史记录的相关代码逻辑。

关于隐私的“乌龙”

其实,腾讯软件疑似侵犯隐私的操作已不是第一次。2018年,不少手机厂商推出了弹出式摄像头手机,但用户发现,当他们使用QQ浏览器浏览某些网页时,vivo NEX等手机就会无故弹出摄像头。
图片来源:品玩

图片来源:品玩

在面对大量用户的质疑后,QQ浏览器团队解释称,部分网页的访问需要确认手机摄像头等硬件数据(例如获取摄像头信息并检测摄像头是否可用),从而触发了弹出式手机的相机弹出机制。

后来,知名开源软件Telegram也遇到了这一问题,根据Telegram的代码显示,QQ浏览器团队的解释是对的,这本质上是谷歌没有及时升级API的结果,QQ浏览器的嫌疑就此洗清。在之后,vivo也向用户推送了“二次拍照确认”的更新补丁,隐私之争从此落下帷幕。

可以看到,QQ浏览器的“弹出”案例此次的浏览器事件很相似:开发团队出于安全/保障软件正常运行的原因,对用户部分机内数据进行了调用分析,在围观群众看来,这成了他们调用信息的铁证。直到代码解析结果出炉,大家才真相大白。

此次也是一样,通过代码解析后发现,虽然QQ会自动提取用户的浏览链接并进行网站分类,但它并没有向服务器上传相关信息。从安全角度来看,QQ团队所做的链接提取和关键词分析功能是合理的,因为一些热词(股票、融券、融资等)确实是恶意网站的植入重灾区。

虽然小雷本想总结称,这是QQ和群众之间的一次美丽误会,但在这个隐私时代下,事情似乎并没有那么简单。

浏览记录有什么用?

虽然QQ并没有针对用户搜索的具体内容进行分析,但你浏览网页的时间、频次和关键词,也是互联网数据“用户画像”的重要组成方式。早在电商时代,用户画像这一分析手段就被广为运用,如今互联网巨头言必称大数据,用户画像成为了每个巨头都关心的核心数据。

用户画像是真实用户的虚拟代表,是建立在一系列真实数据之上的目标用户模型,用户的性别年龄、社会身份、位置数据等都是用户画像的一部分。

目前,许多应用(微信、抖音、百度App、淘宝)的隐私政策都明确规定,你在应用生成的浏览信息、关键词等数据,应用厂商有权进行采集和分析。你收到的购物推荐、新闻推送乃至垃圾广告,都离不开这些互联网巨头的画像采集。

举个例子,从你访问购物网站的种类和频次,其实可以推断出你的作息时间、消费档次和消费特征。假设腾讯真的希望用QQ来校准用户画像的话,那么QQ将浏览记录根据网址和关键词分门别类地进行整理也就不足为奇了,这些数据都是用户画像的重要依据。
图片来源:CleverTap

图片来源:CleverTap

而比用户画像更麻烦的,则是近几年兴起的“数字指纹”信息检索。在传统的用户储存文档Cookie受到读取限制后,互联网厂商开始采用更为便捷的手段来给用户分类。根据设备型号、系统版本、浏览器版本和屏幕字号等信息,厂商可以将信息精确到用户个体,完成匹配度更高的身份识别。

虽然如今很多硬件制造商和浏览器厂商开始混淆用户版本,拉低数字指纹的精确性,但由于目前很多桌面应用都没有沙盒化运行,浏览记录反而成为了更简单的工具。你的访问频度、访问时段和访问门类构成的数据组合,已经能有效筛除掉大多数无关用户,实现从设备到人的用户匹配。

​我们该怎么做?

虽然在互联网时代,普通用户的隐私保护程度节节后退,但仅就QQ事件来说,我们也并非没有应对手段。在Windows平台上,我们可以通过安全软件的规则定义功能,限制应用的文件检索范围,并选择性中断应用和部分服务器的数据连接,保证隐私安全。

而在Mac平台上,我们也拥有专门为沙盒化应用定制的Mac Apple Store。虽然如今不少Mac应用都会在官网上推出下载版,但Mac版官方应用才是最安全的选择,在苹果的隐私审查下,这些蠢蠢欲动的开发者也只能死心。

不过从宏观层面上讲,法律才是最好的隐私守护神。欧洲于2018年出台的GDPR法案和我国去年十月公布的《个人信息保护法(草案)》中,都明确规定了互联网浏览记录符合个人信息的法律范畴,针对浏览历史的不规范访问行为或将彻底终结,QQ团队的这一“失误”,在未来不会成为常态。

 

本文系作者锋见授权钛媒体发表,并经钛媒体编辑,转载请注明出处、作者和本文链接
本文观点仅代表作者本人,钛媒体平台仅对用户提供信息及决策参考,本文不构成投资建议。
想和千万钛媒体用户分享你的新奇观点和发现,点击这里投稿 。创业或融资寻求报道,点击这里

敬原创,有钛度,得赞赏

”支持原创,赞赏一下“
hNzMk0 钛粉70544 先进团队先用飞书 钛粉33131 钛粉53759 hSmXxU
477人已赞赏 >
477换成打赏总人数477人赞赏钛媒体文章
关闭弹窗

挺钛度,加点码!

  • ¥ 5
  • ¥ 10
  • ¥ 20
  • ¥ 50
  • ¥ 100

支付方式

确认支付
关闭弹窗

支付

支付金额:¥6

关闭弹窗
sussess

赞赏金额:¥ 6

赞赏时间:2020.02.11 17:32

关闭弹窗 关闭弹窗

Oh! no

您是否确认要删除该条评论吗?

注册邮箱未验证

我们已向下方邮箱发送了验证邮件,请查收并按提示验证您的邮箱。

如果您没有收到邮件,请留意垃圾邮件箱。

更换邮箱

您当前使用的邮箱可能无法接收验证邮件,建议您更换邮箱

账号合并

经检测,你是“钛媒体”和“商业价值”的注册用户。现在,我们对两个产品因进行整合,需要您选择一个账号用来登录。无论您选择哪个账号,两个账号的原有信息都会合并在一起。对于给您造成的不便,我们深感歉意。