深究QQ隐私事件：仅靠“技术说辞”，不能安抚大众

编者按：本文来自微信公众号 “锋科技”（ID:feng_keji），作者：锋科技，编辑：Witkey，36氪经授权发布。

说到近期讨论热烈的互联网大事，QQ一定榜上有名。

1月15日，知名开发者社区V2EX出现了一篇帖子，发帖人@mengyx表示，电脑上装载的安全软件“火绒”拦下了QQ的读取操作，而QQ的读取目标，竟然是Edge浏览器的历史记录。

fieAZrv.png!mobile

V2EX原帖内容

此帖一出，舆论哗然，多个用户通过场景复现后发现，遭到QQ“毒手”的浏览器，并不只有Edge一家：Chrome、360、猎豹等国内知名浏览器的历史记录都会被QQ读取，并且会对用户的浏览网址进行分类。

除了QQ外，很多工作党使用的即时通讯软件TIM也出现了类似情况，并且已经持续了一年多。值得庆幸的是，多名开发者在深扒代码后表示，目前QQ尚未装载将记录上传的功能，也不会读取历史记录的具体内容。

V3myArN.png!mobile

昨天，QQ团队也正式发布公告称，QQ检索浏览器记录是为了检测一些恶意网站，从而让用户不会受到与之相关的伪造QQ客户端的困扰。对于QQ访问用户数据不规范的行为，QQ团队特地向大众致歉，在后续推送的新版本中，QQ将更换恶意网站的监测手段，并将原有方案移除。

ZZZnEva.jpg!mobile

从火绒安全工作室公布的后续代码解析中，我们也看到目前QQ和Tim的最新版本（QQ版本号：9.4.2.27666，Tim版本号：3.3.0.21972）已经移除了获取浏览器历史记录的相关代码逻辑。

qeaYjum.jpg!mobile

01 关于隐私的“乌龙”

其实，腾讯软件疑似侵犯隐私的操作已不是第一次。2018年，不少手机厂商推出了弹出式摄像头手机，但用户发现，当他们使用QQ浏览器浏览某些网页时，vivo NEX等手机就会无故弹出摄像头。

Njemaym.gif!mobile

图片来源：品玩

在面对大量用户的质疑后，QQ浏览器团队解释称，部分网页的访问需要确认手机摄像头等硬件数据（例如获取摄像头信息并检测摄像头是否可用），从而触发了弹出式手机的相机弹出机制。

后来，知名开源软件Telegram也遇到了这一问题，根据Telegram的代码显示，QQ浏览器团队的解释是对的，这本质上是谷歌没有及时升级API的结果，QQ浏览器的嫌疑就此洗清。在之后，vivo也向用户推送了“二次拍照确认”的更新补丁，隐私之争从此落下帷幕。

RRvy2um.gif!mobile

可以看到，QQ浏览器的“弹出”案例此次的浏览器事件很相似：开发团队出于安全/保障软件正常运行的原因，对用户部分机内数据进行了调用分析，在围观群众看来，这成了他们调用信息的铁证。直到代码解析结果出炉，大家才真相大白。

此次也是一样，通过代码解析后发现，虽然QQ会自动提取用户的浏览链接并进行网站分类，但它并没有向服务器上传相关信息。从安全角度来看，QQ团队所做的链接提取和关键词分析功能是合理的，因为一些热词（股票、融券、融资等）确实是恶意网站的植入重灾区。

rU3auqV.png!mobile

虽然小雷本想总结称，这是QQ和群众之间的一次美丽误会，但在这个隐私时代下，事情似乎并没有那么简单。

02 浏览记录有什么用？

虽然QQ并没有针对用户搜索的具体内容进行分析，但你浏览网页的时间、频次和关键词，也是互联网数据“用户画像”的重要组成方式。早在电商时代，用户画像这一分析手段就被广为运用，如今互联网巨头言必称大数据，用户画像成为了每个巨头都关心的核心数据。

用户画像是真实用户的虚拟代表,是建立在一系列真实数据之上的目标用户模型，用户的性别年龄、社会身份、位置数据等都是用户画像的一部分。

a6JNra.jpg!mobile

目前，许多应用（微信、抖音、百度App、淘宝）的隐私政策都明确规定，你在应用生成的浏览信息、关键词等数据，应用厂商有权进行采集和分析。你收到的购物推荐、新闻推送乃至垃圾广告，都离不开这些互联网巨头的画像采集。

举个例子，从你访问购物网站的种类和频次，其实可以推断出你的作息时间、消费档次和消费特征。假设腾讯真的希望用QQ来校准用户画像的话，那么QQ将浏览记录根据网址和关键词分门别类地进行整理也就不足为奇了，这些数据都是用户画像的重要依据。

RjeYfmm.jpg!mobile

图片来源：CleverTap

而比用户画像更麻烦的，则是近几年兴起的“数字指纹”信息检索。在传统的用户储存文档Cookie受到读取限制后，互联网厂商开始采用更为便捷的手段来给用户分类。根据设备型号、系统版本、浏览器版本和屏幕字号等信息，厂商可以将信息精确到用户个体，完成匹配度更高的身份识别。

6BnYVfB.png!mobile

虽然如今很多硬件制造商和浏览器厂商开始混淆用户版本，拉低数字指纹的精确性，但由于目前很多桌面应用都没有沙盒化运行，浏览记录反而成为了更简单的工具。你的访问频度、访问时段和访问门类构成的数据组合，已经能有效筛除掉大多数无关用户，实现从设备到人的用户匹配。

Qbyuqev.png!mobile

03 我们该怎么做？

虽然在互联网时代，普通用户的隐私保护程度节节后退，但仅就QQ事件来说，我们也并非没有应对手段。在Windows平台上，我们可以通过安全软件的规则定义功能，限制应用的文件检索范围，并选择性中断应用和部分服务器的数据连接，保证隐私安全。

而在Mac平台上，我们也拥有专门为沙盒化应用定制的Mac Apple Store。虽然如今不少Mac应用都会在官网上推出下载版，但Mac版官方应用才是最安全的选择，在苹果的隐私审查下，这些蠢蠢欲动的开发者也只能死心。

ieuaieZ.jpg!mobile

不过从宏观层面上讲，法律才是最好的隐私守护神。欧洲于2018年出台的GDPR法案和我国去年十月公布的《个人信息保护法（草案）》中，都明确规定了互联网浏览记录符合个人信息的法律范畴，针对浏览历史的不规范访问行为或将彻底终结，QQ团队的这一“失误”，在未来不会成为常态。

01 关于隐私的“乌龙”

02 浏览记录有什么用？

03 我们该怎么做？

Recommend

【Ids4实战】深究配置——用户信息操作篇

深究strtok系列函数

AWS张侠：不能仅靠优化度过技术颠覆的时代

汽车芯片缺货原因深究

深究AMD R7 3700X，了解大厂英特尔与AMD处理器如何取舍！

AIDL 数据深究

Vue3 中有哪些值得深究的知识点？

Java动态代理--jdk代理原理深究

Python函数参数默认值的陷阱和原理深究

深究Java Hibernate框架下的Deserialization

About Joyk