QQ读取浏览器历史记录 这个锅就不要再甩了
近日,可能是汪峰放出消息月底要发新歌,所以网上的爆料不断:饿了么骑手因薪资纠纷自焚,郑爽张恒孩子出生证明曝光,腾讯QQ读取浏览器历史,字节跳动开撕百度一审获赔40元,猛料一个接一个。不过,作为安全媒体,嘶吼还是最关注“腾讯QQ读取浏览器历史”这件事。
1月17日,某论坛流出消息:“QQ会读取网页浏览器的历史记录”。随后,该内容被链接到知乎上提问,引发广泛关注。
事情曝出后,腾讯QQ在其知乎官方号上做出回应:
- 近日,我们收到外部反馈称PC QQ扫描读取浏览器历史记录。对此,QQ安全团队高度重视并展开调查,发现PC QQ存在读取浏览器历史用以判断用户登录安全风险的情况,读取的数据用于在PC QQ的本地客户端中判断是否恶意登录。所有相关数据不会上传至云端,不会储存,也不会用于任何其他用途。
- 具体情况为,该操作为历史上线的一个对抗恶意登录的技术解决方案:因系统识别有不少伪造的QQ客户端会恶意访问多个网站作为前期辅助工作,因此在PC QQ客户端中加入了检测恶意和异常的访问逻辑,以此作为辅助手段去判断恶意客户端。
同时腾讯做出道歉:对本次事件,我们深表歉意,内部正梳理历史问题并强化用户数据访问规范。目前,已经更换了检测恶意和异常请求的技术逻辑去解决上述安全风险问题,并发布全新的PC QQ版本。为减少不便,所有受影响的PC QQ历史版本将在今天开始进行热更新和推送升级包。同时,手机端QQ不存在上述操作,不受影响。
事件爆出后,陆续也有程序员进行复现,发现QQ读取浏览器历史的行为包括:读取浏览器浏览历史,对读取到的url进行md5,并在本地进行比较,在md5匹配的情况下,上传相应分组ID。
安全圈内也发出不少声音,有穷追猛打伺机宣传自己的,也有利用技术分析最后澄清的,这里的前世今生,人情世故什么的不做多说。嘶吼只想作为一个中立的行业媒体谈一谈自己的态度。
首先,QQ在未授权的情况下读取浏览器历史记录,解释说是为了检测恶意和异常访问?敢问什么检测机制是需要对比历史记录中的搜索链接,比如:淘宝、天猫、京东等。又有什么检测机制要根据比较搜索的关键字呢?在常用设备上得到这些就可能判断异常访问?比起那些异地登录警告、非常用设备登录等安全防护措施,这个解释未免显得有些惨白。
其次,腾讯QQ在声明中说,所有相关数据不会上传至云端,不会储存,也不会用于任何其他用途。难道你的日记被陌生人看了,然后向你保证绝对不会外泄,这就不犯法了吗?事实就是事实,不管怎么解释,责任还是难辞其咎。不过,腾讯QQ在声明中也表明要调整此功能缺陷的问题,诚恳的态度还是值得认可的。
其实,很多App都存在越权访问的问题,而大数据时代下的安全问题也非一朝一夕可以攻克的。不过,作为安全媒体,我们还是希望企业可以重视隐私保护问题,为中国创造大数据时代下的一片净土。
如若转载,请注明原文地址
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
SOC 2.0 时代:更强大、更安全的安全运营团队的构建指南 - 网络·安全技术周刊第473期
【责任编辑:贺鑫 TEL:(010)68476606】
- 下一篇
联合国数据泄漏事件:超过10万条环境署工作人员的隐私被泄漏
最近,研究人员披露了一个安全漏洞,攻击者利用这些漏洞,可以访问10万多条联合国环境规划署(UNEP)的私人员工记录。 数据泄漏源于公开的Git目录和凭据,这使攻击者可以复制Git存储库并收集与10万多名员工相关的大量个人身份信息(PII)。 Git目录公开了WordPress DB和Git凭据 道德黑客与安全研究小组Sakura Samurai最近披漏了他们的漏洞发现,这使他们可以访问10万多条联合国环境规划署(UNEP)员工的私人数据。 与BleepingComputer共享的文件和截图提供了关于这个安全漏洞的性质及其暴漏的所有细节。 Sakura Samurai的研究人员杰克逊·亨利,尼克·萨勒,约翰·杰克逊和奥布里·科特尔在接触过联合国“脆弱性披露计划”和“信息安全名人堂”后,着手寻找影响联合国系统的任何安全漏洞。 然后,他们在与联合国环境规划署(UNEP)和联合国国际劳工组织(ILO)相关的域名上发现了暴漏的Git目录(. Git)和Git证书文件(. Git -credentials)。 研究人员能够转储这些Git文件的内容,并使用git-dumper从* .ilo.org和...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- CentOS关闭SELinux安全模块
- CentOS7设置SWAP分区,小内存服务器的救世主
- Docker安装Oracle12C,快速搭建Oracle学习环境
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作