因監(jiān)控用戶瀏覽器歷史記錄被罵上熱搜？QQ回應(yīng)了

近日，知名技術(shù)社區(qū)V2EX論壇上的一篇爆料帖，在網(wǎng)上掀起了軒然大波。

據(jù)樓主反映，他發(fā)現(xiàn)了聊天軟件QQ嘗試讀取用戶瀏覽記錄的問題。

因樓主的電腦安裝有火絨，因此QQ登錄后被火絨高級防護攔截 ，其配置的自定義攔截規(guī)則發(fā)現(xiàn)了QQ讀取瀏覽器位置的行為。

這里的瀏覽器位置指的是，谷歌等瀏覽器數(shù)據(jù)存儲位置。

再具體一點，就是QQ的相關(guān)進(jìn)程顯示，其直接讀取了瀏覽器歷史記錄目錄。

根據(jù)樓主發(fā)布的攔截報告，被讀取的谷歌瀏覽器數(shù)據(jù)目錄為：

C:\Users\用戶名稱\AppData\Local\Google\Chrome\User Data\Default\History

樓主還稱，以History為關(guān)鍵字，最早可以追溯到9.1.5版本（2019年6月）。

因此，他表示，QQ的此種行為至少已經(jīng)進(jìn)行一年半了。

帖子發(fā)布后立刻引起了多名網(wǎng)友的圍觀。

經(jīng)過大家測試和驗證，再次發(fā)現(xiàn)除了QQ以外，TIM也有上述行為。

要驗證此問題的方法也很簡單——安裝火絨安全然后配置自定義攔截規(guī)則，隨后登錄QQ/TIM，10分鐘后，即可看到攔截提示。

更重要的是，看雪論壇網(wǎng)友隨后還發(fā)現(xiàn)，被讀取的不僅僅是谷歌瀏覽器的歷史記錄。

實際上，QQ會遍歷Appdata\Local\下的所有文件夾。

也就是說，任何基于Chromium內(nèi)核的瀏覽器例如Edge、360、2345、獵豹等瀏覽器均會被讀取（后據(jù)火絨報告，IE瀏覽器也中招了）。

發(fā)現(xiàn)此事的網(wǎng)友@qwqdanchun稱，“受害人之多令人震驚”。

眾所周知，無論是國內(nèi)還是國外，用戶的瀏覽器歷史記錄都是十分私密的內(nèi)容。

在未經(jīng)用戶同意的情況下，任何企業(yè)都不得公開搜集和訪問。

那么，讀取到的瀏覽器歷史記錄又被拿來干啥了呢？

V2EX網(wǎng)友經(jīng)過多次測試后發(fā)現(xiàn)，QQ并非收集用戶所有歷史記錄 ，而是監(jiān)控某些特定的歷史記錄。

目前發(fā)現(xiàn)的詞類別包括：古著(即古裝)、VINTAGE(老式)、融券、融資、炒股、股票等等。

而涉及的網(wǎng)站主要是淘寶、天貓和京東，即用戶在上述網(wǎng)站搜索過類似關(guān)鍵詞，則會將被上報到官方服務(wù)器。

這兩位網(wǎng)友的帖子發(fā)出后，在社交平臺引發(fā)了不少猜測和討論。

這件事，甚至火到了國外的技術(shù)論壇上，還一度登上了首頁。

很快，QQ在知乎相關(guān)問題下回復(fù)稱，該操作為歷史上線的一個對抗惡意登錄的技術(shù)解決方案。

QQ表示，所有檢測到的數(shù)據(jù)不會上傳云端，不會儲存，也不會用于任何其它用途。

目前，QQ已經(jīng)更換了另一套檢測技術(shù)邏輯來解決安全風(fēng)險問題，并發(fā)布了全新的PC QQ版本。此外，手機端QQ不存在上述操作，故不受影響。

安全軟件火絨也迅速在其官方平臺做出了回應(yīng)。

其一，PC端QQ和Tim的確存在讀取用戶瀏覽器歷史記錄；其二，目前尚未發(fā)現(xiàn)有將原始數(shù)據(jù)外泄的代碼邏輯。

另外，目前PC端QQ和Tim都更新了一個版本，火絨也確認(rèn)了新版本的安全性。

360安全衛(wèi)士官方賬號也回應(yīng)稱，團隊第一時間分析了上述QQ用戶瀏覽器隱私被掃描的技術(shù)細(xì)節(jié)，確認(rèn)暫無原始數(shù)據(jù)泄露風(fēng)險。

最后順帶一提，現(xiàn)在QQ的版本號已經(jīng)是最新的9.4.2，大家可以查看自己的 PC端QQ是否有更新。

到這里，「QQ嘗試讀取用戶瀏覽器歷史記錄事件」算是告一段落了。

有網(wǎng)友表示，雖然本意是好的，但最好是讓用戶自己擁有選擇權(quán)，畢竟不是每個程序都有必須要訪問硬盤的理由。

V2EX原帖

https://www.v2ex.com/t/745030

看雪論壇原帖

https://bbs.pediy.com/thread-265359.htm

感謝閱讀