(给程序员的那些事加星标)
0
网友爆料 QQ 读取浏览器的历史记录
1 月 15 日,有位程序员 mengyx 发帖称,发现 QQ 桌面版尝试读取浏览器历史记录。
这事在圈子开始引发议论。
1
程序员验证发现:不止读取 Chrome 浏览器
1 月 17 日,另外一个程序员 qwqdanchun 起初不太相信,随后在虚拟机中验证真假。
发现 QQ 的确在读取 AppData\Local\Google\Chrome\User Data\Default\History 等目录,并且时间点也恰好是 10 分钟。
换了规则后发现,遍历了 Appdata\Local\ 下的所有文件夹。
经过进一步的深入分析,qwqdanchun 得出结论:
QQ 并不是特意读取 Chrome 的历史记录的,而是会试图读取电脑里所有谷歌系浏览器的历史记录并提取链接,确认会中招的浏览器包括但不限于 Chrome、Chromium、360极速、360安全、猎豹、2345 等浏览器。
此外,他还发现 TIM 比 QQ 还离谱。
qwqdanchun 得出的研究结果,在微博和知乎上引发更进一步的讨论。
2
腾讯QQ回应:对本次事件深表歉意,该操作用以对抗恶意登录
18 日 13 点左右,就此问题腾讯QQ官方正式做出回应,称:
“该操作是一个对抗恶意登录的技术解决方案,因系统识别有不少伪造的 QQ 客户端会恶意访问多个网站作为前期辅助工作,因此在 PC QQ 客户端中加入了检测恶意的异常的访问逻辑。”
同时,腾讯也强调读取的数据不会上传至云端,不会储存,也不会用于其他用途。
目前,腾讯已更换了检测恶意和异常请求的技术逻辑去解决上述安全风险问题,并发布全新的 PC QQ 版本。
3
火绒回应:的确读取了浏览器历史记录,未发现数据外泄的代码逻辑
18 日,第三方安全工具火绒在知乎做出了回应:
> 腾讯 QQ 和 TIM 的确读取了浏览器的历史记录;
> 未发现有把浏览器历史记录数据外泄的代码逻辑;
4
在看到腾讯QQ的官方回应后,qwqdanchun补充回应“腾讯用这种办法检测恶意登录也是说得过去。但读取浏览器历史记录的行为还是不妥当。”
5
在此次事件中,腾讯回应算是及时和清晰。
此外,火绒也不是第一次拦截提醒腾讯软件的越权行为。
2017 年 12 月,腾讯QQ在推广自家产品的过程中,技术手段超出常规,严重越位。
12 月 25 日被火绒拦截。
事情引发热议后,在互联网评论家keso转发的《火绒拦截腾讯产品说明》下方,马化腾自查后承认是腾讯团队违规,并称已严格要求整改处理和道歉。
第二天,腾讯电脑管家公开道歉。
- EOF -
推荐阅读 点击标题可跳转
1、一夜之间火爆 GitHub!马斯克都在用的开源 APP 到底有多好?
2、腾讯 2019 年新增 12.9 亿行代码,鹅厂最火的编程语言居然是它
关注「程序员的那些事」加星标,不错过圈内事
点赞和在看就是最大的支持❤️
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
