近日,可能是汪峰放出消息月底要发新歌,所以网上的爆料不断:饿了么骑手因薪资纠纷自焚,郑爽张恒孩子出生证明曝光,腾讯QQ读取浏览器历史,字节跳动开撕百度一审获赔40元,猛料一个接一个。不过,作为安全媒体,嘶吼还是最关注“腾讯QQ读取浏览器历史”这件事。
1月17日,某论坛流出消息:“QQ会读取网页浏览器的历史记录”。随后,该内容被链接到知乎上提问,引发广泛关注。
事情曝出后,腾讯QQ在其知乎官方号上做出回应:
同时腾讯做出道歉:对本次事件,我们深表歉意,内部正梳理历史问题并强化用户数据访问规范。目前,已经更换了检测恶意和异常请求的技术逻辑去解决上述安全风险问题,并发布全新的PC QQ版本。为减少不便,所有受影响的PC QQ历史版本将在今天开始进行热更新和推送升级包。同时,手机端QQ不存在上述操作,不受影响。
事件爆出后,陆续也有程序员进行复现,发现QQ读取浏览器历史的行为包括:读取浏览器浏览历史,对读取到的url进行md5,并在本地进行比较,在md5匹配的情况下,上传相应分组ID。
安全圈内也发出不少声音,有穷追猛打伺机宣传自己的,也有利用技术分析最后澄清的,这里的前世今生,人情世故什么的不做多说。嘶吼只想作为一个中立的行业媒体谈一谈自己的态度。
首先,QQ在未授权的情况下读取浏览器历史记录,解释说是为了检测恶意和异常访问?敢问什么检测机制是需要对比历史记录中的搜索链接,比如:淘宝、天猫、京东等。又有什么检测机制要根据比较搜索的关键字呢?在常用设备上得到这些就可能判断异常访问?比起那些异地登录警告、非常用设备登录等安全防护措施,这个解释未免显得有些惨白。
其次,腾讯QQ在声明中说,所有相关数据不会上传至云端,不会储存,也不会用于任何其他用途。难道你的日记被陌生人看了,然后向你保证绝对不会外泄,这就不犯法了吗?事实就是事实,不管怎么解释,责任还是难辞其咎。不过,腾讯QQ在声明中也表明要调整此功能缺陷的问题,诚恳的态度还是值得认可的。
其实,很多App都存在越权访问的问题,而大数据时代下的安全问题也非一朝一夕可以攻克的。不过,作为安全媒体,我们还是希望企业可以重视隐私保护问题,为中国创造大数据时代下的一片净土。
如若转载,请注明原文地址
众所周知,当网站或APP使用CDN后,会隐藏源站IP地址,一定程度上增加了黑客攻击...
Windows操作系统下,为了避免各个进程相互影响,每个进程地址空间都是被隔离的。...
1.我喜欢怀旧,因为我看不到你和未来。我多想一个不小心,就和你白头到老。 2.我...
众所周知,网络劫持共分为两大类:DNS劫持和HTTP劫持。那么它们到底是什么意思,...
在美国网络空间日光浴委员会(CSC)相继发布《疫情中吸取的关于网络安全的教训》、...
2019年5月,等级保护2.0相关的《信息安全技术 网络安全等级保护基本要求》、《信...
在2021年1月的一篇Gartner博客中,谈及了对2021年区块链三大顶级趋势的看法,以...
1.有些人说不出哪里好,可就是谁也替代不了。 2.一生中至少要有两次冲动,一次...
2月25日,美国10年期国债利率突然冲高至1.6%,引起纳斯达克市场与加密市场同时暴...
虽然比特币长期看涨,但许多人已经注意到近期行情震荡剧烈,价格波动幅度巨大。...