前几天,在一个安全论坛上,有用户发现QQ读取用户某个浏览器的浏览记录,事情迅速被发酵。大量技术人员对这个事情进行调查,通过技术跟踪,发现QQ不仅是读取某个浏览器记录,而是读取了几乎所有浏览器的上网记录。
然后,又有用户对QQ的行为进行跟踪,发现QQ对用户购物行为、证券和融资的关键字有所动作,疑似做用户画像使用。
这个事情随即在一些论坛被传播开,腾讯则快速做了回复。
腾讯称PC QQ读取浏览器历史判断断用户登录安全风险的情况,读取的数据用于在PC QQ的本地客户端中判断是否恶意登录。所有相关数据不会上传至云端,不会储存,也不会用于任何其他用途。
该操是历史上线的一个对抗恶意登录的技术解决方案:因系统识别有不少伪造的QQ客户端会恶意访问多个网站作为前期辅助工作,因此在PC QQ客户端中加入了检测恶意和异常的访问逻辑,以此作为辅助手段去判断恶意客户端。
目前,我们已经更换了检测恶意和异常请求的技术逻辑去解决上述安全风险问题,并发布全新的PC QQ版本。为减少不便,所有受影响的PC QQ历史版本将在今天开始进行热更新和推送升级包。同时,手机端QQ不存在上述操作,不受影响。
对于QQ读取隐私的事情,10年前的3Q大战还历历在目。
这个问题其实冰山一角,更严重的问题是大数据时代的隐私问题。
无法摆脱的基础软件
在3Q大战的年代,移动互联网并不发达,互联网还是以PC为主,基于Windows平台。
在这个平台下,安全软件是一个基础软件,QQ作为通讯联系,也是基础软件。因为是基础软件,用户就不能不安装。而用户不得不安装的软件缺乏竞争,就很容易为所欲为。
软件都是必源的,它在你的电脑里面干点什么,你不安装第三方安全软件是不知道的。
而360恰恰是一个安全软件,于是QQ和360就爆发了冲突,QQ利用自己基础软件的地位,要用自家的安全软件替代掉360,自己监控自己,360当然不干,于是大战爆发,双方各显神通,周鸿祎上班路上奔赴机场,飞到境外。
最后,以政府出面,双方的争端才落幕。
这次QQ的问题,火了一款叫做火绒的安全软件,这也是第三方监控发现了问题。
就是说基础软件要干点什么,你不用第三方安全软件是不会发现的,你也无法逃避。
更可怕的手机APP
如果是PC时代的基础软件,能够盗取的信息还有限的话。那么移动时代的APP,能窃取东西几乎是无限的。
在智能手机时代,你的一切行动轨迹,消费记录,社交人群都记录在你的智能手机里面。
你于某年某月某日某时,在某个地方的小买卖买了一盒烟,花了多少钱,转账转给了谁,你的智能手机记录的清清楚楚。
对于一些不太规矩的软件来说,你和店主的对话,甚至你手机摄像头能拍摄的环境都可以记录下来。
只要你拿着智能手机,你的一举一动就都被记录下来了,而记录不记录,这些记录怎么用,都是APP自己的事情。
理论上,即使是安卓也有权限限制,但是对于基础软件来说,你不开限制就不让你用,而为了功能正常,你又不得不开。
你能不开微信,和微信上的人断了联系吗?
你不得不给基础软件权限,而基础软件有了权限,什么都能干,规矩点的,盗取了隐私,只给你做用户画像,把你的画像卖给广告公司。
不规矩的,你的信息就打包出售给犯罪份子了。
需要监管严格执法
对于基础软件窃取隐私这个事情,依靠公司自律是不可能的。
一家公司是要盈利的,只要窃取隐私这个事情成本低收益高,就会干,只要罚款少,处罚概率低就会一直干,用户怎么骂都不如钱重要。
对于竞争性的软件,用户可以用脚投票。
譬如,以前有个手电筒软件,一开启要用户隐私一大堆权限。市面上有这个功能的软件多了。谁用你?
但是,对于基础性软件,用户没有选择权利。让用户当黑客,写程序,用工具阻止权限,不现实。
解决的办法,只有政府监管,用重罚的手段提高成本。
譬如,政府立法,出一套规则,提供一套工具。
只要工具发现某个APP窃取隐私,政府认这个证据,罚制造APP的公司100万亿人民币。拿不出足够钱来,公司就没收了收归国有,这个事情就没人敢做了。
公司会一个比一个合规,因为不合规的成本太高,卖多少隐私都挣不回来。
所以,只有严格监管才能解决大数据时代的隐私问题。