[[377123]]

 近日，可能是汪峰放出消息月底要發(fā)新歌，所以網(wǎng)上的爆料不斷：餓了么騎手因薪資糾紛自焚，鄭爽張恒孩子出生證明曝光，騰訊QQ讀取瀏覽器歷史，字節(jié)跳動開撕百度一審獲賠40元，猛料一個(gè)接一個(gè)。不過，作為安全媒體，嘶吼還是最關(guān)注“騰訊QQ讀取瀏覽器歷史”這件事。

1月17日，某論壇流出消息：“QQ會讀取網(wǎng)頁瀏覽器的歷史記錄”。隨后，該內(nèi)容被鏈接到知乎上提問，引發(fā)廣泛關(guān)注。

事情曝出后，騰訊QQ在其知乎官方號上做出回應(yīng)：

• 近日，我們收到外部反饋稱PC QQ掃描讀取瀏覽器歷史記錄。對此，QQ安全團(tuán)隊(duì)高度重視并展開調(diào)查，發(fā)現(xiàn)PC QQ存在讀取瀏覽器歷史用以判斷用戶登錄安全風(fēng)險(xiǎn)的情況，讀取的數(shù)據(jù)用于在PC QQ的本地客戶端中判斷是否惡意登錄。所有相關(guān)數(shù)據(jù)不會上傳至云端，不會儲存，也不會用于任何其他用途。
• 具體情況為，該操作為歷史上線的一個(gè)對抗惡意登錄的技術(shù)解決方案：因系統(tǒng)識別有不少偽造的QQ客戶端會惡意訪問多個(gè)網(wǎng)站作為前期輔助工作，因此在PC QQ客戶端中加入了檢測惡意和異常的訪問邏輯，以此作為輔助手段去判斷惡意客戶端。

同時(shí)騰訊做出道歉：對本次事件，我們深表歉意，內(nèi)部正梳理歷史問題并強(qiáng)化用戶數(shù)據(jù)訪問規(guī)范。目前，已經(jīng)更換了檢測惡意和異常請求的技術(shù)邏輯去解決上述安全風(fēng)險(xiǎn)問題，并發(fā)布全新的PC QQ版本。為減少不便，所有受影響的PC QQ歷史版本將在今天開始進(jìn)行熱更新和推送升級包。同時(shí)，手機(jī)端QQ不存在上述操作，不受影響。

事件爆出后，陸續(xù)也有程序員進(jìn)行復(fù)現(xiàn)，發(fā)現(xiàn)QQ讀取瀏覽器歷史的行為包括：讀取瀏覽器瀏覽歷史，對讀取到的url進(jìn)行md5，并在本地進(jìn)行比較，在md5匹配的情況下，上傳相應(yīng)分組ID。

安全圈內(nèi)也發(fā)出不少聲音，有窮追猛打伺機(jī)宣傳自己的，也有利用技術(shù)分析最后澄清的，這里的前世今生，人情世故什么的不做多說。嘶吼只想作為一個(gè)中立的行業(yè)媒體談一談自己的態(tài)度。

首先，QQ在未授權(quán)的情況下讀取瀏覽器歷史記錄，解釋說是為了檢測惡意和異常訪問?敢問什么檢測機(jī)制是需要對比歷史記錄中的搜索鏈接，比如：淘寶、天貓、京東等。又有什么檢測機(jī)制要根據(jù)比較搜索的關(guān)鍵字呢?在常用設(shè)備上得到這些就可能判斷異常訪問?比起那些異地登錄警告、非常用設(shè)備登錄等安全防護(hù)措施，這個(gè)解釋未免顯得有些慘白。

其次，騰訊QQ在聲明中說，所有相關(guān)數(shù)據(jù)不會上傳至云端，不會儲存，也不會用于任何其他用途。難道你的日記被陌生人看了，然后向你保證絕對不會外泄，這就不犯法了嗎?事實(shí)就是事實(shí)，不管怎么解釋，責(zé)任還是難辭其咎。不過，騰訊QQ在聲明中也表明要調(diào)整此功能缺陷的問題，誠懇的態(tài)度還是值得認(rèn)可的。

其實(shí)，很多App都存在越權(quán)訪問的問題，而大數(shù)據(jù)時(shí)代下的安全問題也非一朝一夕可以攻克的。不過，作為安全媒體，我們還是希望企業(yè)可以重視隱私保護(hù)問題，為中國創(chuàng)造大數(shù)據(jù)時(shí)代下的一片凈土。

如若轉(zhuǎn)載，請注明原文地址