近日,“电脑端QQ读取用户浏览器历史记录”在网上掀起讨论。多名技术人员实测发现,QQ确实读取了用户的谷歌Chrome浏览器记录。
1月18日下午,腾讯QQ在知乎回应称,读取的数据仅用于判断是否为恶意登录,不会上传至云端,不会储存,也不会用于任何其他用途。
国家标准《信息安全技术 个人信息安全规范》规定,网页浏览记录属于个人敏感信息。专家指出,QQ读取和分析用户浏览器历史记录的行为如果仅限于本地,并不侵犯隐私,但如果上传至云端,则是非常严重的侵犯隐私行为。
多位技术人员发现QQ读取浏览器历史记录
三天前,技术论坛V2EX上的一篇《QQ正在尝试读取你的浏览记录》的讨论帖引起关注。
该帖作者“mengyx”表示,前几天下载了QQ桌面版,发现安全软件提示“QQ.exe触犯自定义防护规则”,并显示被拦截的是QQ读取Chrome浏览器的用户浏览记录行为。
从浏览记录中,可以分析出用户访问了哪些网页,这是非常私密的个人信息。随后,多位技术人员在看雪论坛发帖作出进一步的逆向分析。
其中一位作者“qwqdanchun”测试发现,登录十分钟后,QQ开始读取了“%LocalAppData%”目录下所有基于Chromium的浏览器历史记录,包括Chrome、360极速、360安全、猎豹、2345等浏览器。
不仅如此,上述作者还发现TIM(简洁版QQ)也读取了浏览器的历史记录。
18日上午,网络安全专家、北京汉华飞天信安科技有限公司总工程师彭根在隐私护卫队的委托下,也对QQ Windows 9.4.2(27662)进行了测试。
他发现,QQ确实读取了Chrome的浏览记录,以及Firefox浏览器的缓存记录,包括“你浏览了哪些网站,缓存了什么图片等”。“Windows是一个开放的系统,理论上任何软件都可以读取,但QQ是有目的性地找到了浏览器存储浏览记录的位置才去读的。”
QQ读取Firefox的缓存记录和Chrome的浏览记录。
腾讯:用于判断恶意登录,不上传
QQ读取浏览记录后还有进一步的操作吗?
技术人员“anhkgg”在看雪论坛分析说,QQ仅将浏览记录拷贝到本地的临时文件中,对url(网络地址)进行筛选后,便删除了这个文件。因此,并不能因为临时读取和“计算”了一下url,就判定侵犯用户隐私。
不过,“anhkgg”强调:“QQ并不完全是无辜者,读取用户浏览器历史记录是一个非常敏感的行为,必须让用户清楚地知道,它并没用这些信息做什么伤害用户利益的事情。”
火绒安全的相关负责人也对隐私护卫队证实QQ会读取用户浏览器的历史记录,但目前尚未发现有将原始数据外泄的代码逻辑。不过,QQ/Tim会使用MD5(一种编码方式)以炒股、融资等为关键字比较历史记录中的搜索链接。
至于QQ是否将这些比较结果上传了云端,暂时没有技术人员验证出来。
1月18日下午,腾讯QQ在知乎上作出回应,承认电脑端QQ确实存在读取浏览器历史记录以判断用户登录安全风险的情况。读取的数据用于判断是否为恶意登录,所有相关数据不会上传至云端,不会储存,也不会用于任何其他用途。
腾讯QQ解释,因系统识别有不少伪造的QQ客户端会恶意访问多个网站作为前期辅助工作,因此在电脑端QQ中加入了检测恶意和异常的访问逻辑,以此作为辅助手段去判断恶意客户端。
腾讯QQ在知乎的回应。
专家:若未经用户同意上传则侵犯隐私
国家标准《信息安全技术 个人信息安全规范》规定,网页浏览记录属于个人敏感信息。
隐私护卫队翻阅《腾讯隐私政策》发现,在“我们收集的信息”章节中,并未声明QQ会收集用户的浏览器历史记录信息。那么这一行为侵犯用户隐私吗?
北京清律律师事务所首席合伙人、主任熊定中认为,这取决于QQ读取浏览器历史记录后,有没有上传行为。
他分析说,如果只是本地读取、本地分析且没有上传行为的话,这实际相当于用户的本地设备在运行和处理,是没问题的。但只要QQ将数据上传到云端进行分析,就脱离了用户的控制范围,必须取得用户的知情同意,否则就是非常严重的侵犯用户隐私的行为。
根据腾讯的回应,为解决上述安全风险问题,QQ已经更换了检测恶意和异常请求的技术逻辑,并发布了全新的电脑端QQ版本。为减少不便,所有受影响的电脑端QQ历史版本将于18日开始进行热更新和推送升级包。
文/南都个人信息保护研究中心研究员 尤一炜
,