2011年11月14日 这几天大家可能都听说了海豚浏览器收集用户隐私的事件:大约在上周五的时候,国际著名手机开发者论坛xda中一位名为Fnorder的网友发帖证明海豚浏览器将用户访问的每个链接地址上传到en.mywebzines.com服务器(该帖现已在Android应用区置顶)。之后不久,Android研究组织AndroidPolice也发表文章说明海豚浏览器以明文方式上传用户访问的地址。
对于这个事件,海豚在其英文官网Blog的解释是:
“在7.0版本推出Webzine(海豚阅读)一系列新功能,需要把URL送到Webzine服务器检查是否支持,这些信息被用来交叉检查判断,如果是,网站就会切换到Webzine模式,如果不是,就呈现标准网站。我们没有存储用户的浏览地址。”
之后,快速发布了两个版本7.0.1和7.0.2。声称已关闭了这个上传URL功能。
事件仿佛到此结束。结束了吗?事情真的如此简单吗?
【疑点1】这个功能是为了交叉检查判断是否支持Webzine服务吗?
确实,这种解释在理论上是说得过去的,但是检查是否支持Webzine服务必须要通过上传URL这种破坏用户隐私的方式吗?未必!
国内外类似服务的浏览器或软件有很多,常用的做法是,将判定的过程放在客户端,而非服务器,目的就是在于保护用户隐私。
海豚浏览器未经任何说明,就将用户的访问地址等隐私内容上传至自己的服务器,这是开发人员犯的低级错误,还是另有隐情?
【疑点2】上传URL仅仅是为了提升用户阅读体验吗?
OK,第一个疑点暂且不提,就当海豚人员犯了低级错误吧。那事实是不是真像官方声明所说的“海豚浏览器上传用户访问的网址仅为改善用户体验”呢?
根据第一个爆出事件的Fnorder原帖内容,我们得知:用户的每一次点击、每一次搜索(包括搜索的内容)以及每一个页面(包括私人网络IP以及文件地址)都会上传。
这恐怕不能用改善用户体验这么冠冕堂皇的借口能说得通了吧。
如果是关于页面呈现这样的用户体验,一次判定足矣,为何要每一个点击都上传,甚至连搜索内容都要呢?海豚啊海豚,这么事无巨细地拿数据,你到底要哪样?
【疑点3】上传而不存储URL,不破坏用户隐私?
根据Android Police文章中显示的抓包数据显示,海豚浏览器上传的数据中甚至包括用户Gmail邮箱地址:
笔者也试着通过抓包测试了一下海豚浏览器,结果亦然。
连邮箱、网银都不能幸免,而且,由于是明文传递,如果用户访问网站URL是包含账户密码参数的,则隐私毕暴露无疑。
【疑点4】事发后为何匆匆发布两个版本?新版本已解决问题了吗?
事实上,在号称已关闭服务的7.0.1版海豚浏览器中,仍在上传URL!
直到发布了7.0.2版,这一服务才彻底关闭。