(給程序員的那些事加星標)
0
網友爆料 QQ 讀取瀏覽器的歷史記錄
1 月 15 日,有位程序員 mengyx 發帖稱,發現 QQ 桌面版嘗試讀取瀏覽器歷史記錄。
這事在圈子開始引發議論。
1
程序員驗證發現:不止讀取 Chrome 瀏覽器
1 月 17 日,另外一個程序員 qwqdanchun 起初不太相信,隨後在虛擬機中驗證真假。
發現 QQ 的確在讀取 AppData\Local\Google\Chrome\User Data\Default\History
等目錄,並且時間點也恰好是 10 分鐘。
換了規則後發現,遍歷了 Appdata\Local\
下的所有文件夾。
經過進一步的深入分析,qwqdanchun 得出結論:
QQ 並不是特意讀取 Chrome 的歷史記錄的,而是會試圖讀取電腦裏所有谷歌系瀏覽器的歷史記錄並提取鏈接,確認會中招的瀏覽器包括但不限於 Chrome、Chromium、360極速、360安全、獵豹、2345 等瀏覽器。
此外,他還發現 TIM 比 QQ 還離譜。
qwqdanchun 得出的研究結果,在微博和知乎上引發更進一步的討論。
2
騰訊QQ迴應:對本次事件深表歉意,該操作用以對抗惡意登錄
18 日 13 點左右,就此問題騰訊QQ官方正式做出迴應,稱:
“該操作是一個對抗惡意登錄的技術解決方案,因系統識別有不少僞造的 QQ 客戶端會惡意訪問多個網站作爲前期輔助工作,因此在 PC QQ 客戶端中加入了檢測惡意的異常的訪問邏輯。”
同時,騰訊也強調讀取的數據不會上傳至雲端,不會儲存,也不會用於其他用途。
目前,騰訊已更換了檢測惡意和異常請求的技術邏輯去解決上述安全風險問題,併發布全新的 PC QQ 版本。
3
火絨迴應:的確讀取了瀏覽器歷史記錄,未發現數據外泄的代碼邏輯
18 日,第三方安全工具火絨在知乎做出了迴應:
> 騰訊 QQ 和 TIM 的確讀取了瀏覽器的歷史記錄;
> 未發現有把瀏覽器歷史記錄數據外泄的代碼邏輯;
4
在看到騰訊QQ的官方迴應後,qwqdanchun補充迴應“騰訊用這種辦法檢測惡意登錄也是說得過去。但讀取瀏覽器歷史記錄的行爲還是不妥當。”
5
在此次事件中,騰訊迴應算是及時和清晰。
此外,火絨也不是第一次攔截提醒騰訊軟件的越權行爲。
2017 年 12 月,騰訊QQ在推廣自家產品的過程中,技術手段超出常規,嚴重越位。
12 月 25 日被火絨攔截。
事情引發熱議後,在互聯網評論家keso轉發的《火絨攔截騰訊產品說明》下方,馬化騰自查後承認是騰訊團隊違規,並稱已嚴格要求整改處理和道歉。
第二天,騰訊電腦管家公開道歉。
- EOF -
推薦閱讀 點擊標題可跳轉
1、一夜之間火爆 GitHub!馬斯克都在用的開源 APP 到底有多好?
2、騰訊 2019 年新增 12.9 億行代碼,鵝廠最火的編程語言居然是它
關注「程序員的那些事」加星標,不錯過圈內事
點贊和在看就是最大的支持❤️