深度分析：揭穿海豚瀏覽器謊言，別拿國(guó)人上網(wǎng)隱私當(dāng)兒戲

　　2011年11月14日 這幾天大家可能都聽(tīng)說(shuō)了海豚瀏覽器收集用戶(hù)隱私的事件：大約在上周五的時(shí)候，國(guó)際著名手機(jī)開(kāi)發(fā)者論壇xda中一位名為Fnorder的網(wǎng)友發(fā)帖證明海豚瀏覽器將用戶(hù)訪(fǎng)問(wèn)的每個(gè)鏈接地址上傳到en.mywebzines.com服務(wù)器(該帖現(xiàn)已在Android應(yīng)用區(qū)置頂)。之后不久，Android研究組織AndroidPolice也發(fā)表文章說(shuō)明海豚瀏覽器以明文方式上傳用戶(hù)訪(fǎng)問(wèn)的地址。

　　對(duì)于這個(gè)事件，海豚在其英文官網(wǎng)Blog的解釋是：

　　“在7.0版本推出Webzine(海豚閱讀)一系列新功能，需要把URL送到Webzine服務(wù)器檢查是否支持，這些信息被用來(lái)交叉檢查判斷，如果是，網(wǎng)站就會(huì)切換到Webzine模式，如果不是，就呈現(xiàn)標(biāo)準(zhǔn)網(wǎng)站。我們沒(méi)有存儲(chǔ)用戶(hù)的瀏覽地址。”

　　之后，快速發(fā)布了兩個(gè)版本7.0.1和7.0.2。聲稱(chēng)已關(guān)閉了這個(gè)上傳URL功能。

　　事件仿佛到此結(jié)束。結(jié)束了嗎?事情真的如此簡(jiǎn)單嗎?

　　【疑點(diǎn)1】這個(gè)功能是為了交叉檢查判斷是否支持Webzine服務(wù)嗎?

　　確實(shí)，這種解釋在理論上是說(shuō)得過(guò)去的，但是檢查是否支持Webzine服務(wù)必須要通過(guò)上傳URL這種破壞用戶(hù)隱私的方式嗎?未必!

　　國(guó)內(nèi)外類(lèi)似服務(wù)的瀏覽器或軟件有很多，常用的做法是，將判定的過(guò)程放在客戶(hù)端，而非服務(wù)器，目的就是在于保護(hù)用戶(hù)隱私。

　　海豚瀏覽器未經(jīng)任何說(shuō)明，就將用戶(hù)的訪(fǎng)問(wèn)地址等隱私內(nèi)容上傳至自己的服務(wù)器，這是開(kāi)發(fā)人員犯的低級(jí)錯(cuò)誤，還是另有隱情?

　　【疑點(diǎn)2】上傳URL僅僅是為了提升用戶(hù)閱讀體驗(yàn)嗎?

　　OK，第一個(gè)疑點(diǎn)暫且不提，就當(dāng)海豚人員犯了低級(jí)錯(cuò)誤吧。那事實(shí)是不是真像官方聲明所說(shuō)的“海豚瀏覽器上傳用戶(hù)訪(fǎng)問(wèn)的網(wǎng)址僅為改善用戶(hù)體驗(yàn)”呢?

　　根據(jù)第一個(gè)爆出事件的Fnorder原帖內(nèi)容，我們得知：用戶(hù)的每一次點(diǎn)擊、每一次搜索(包括搜索的內(nèi)容)以及每一個(gè)頁(yè)面(包括私人網(wǎng)絡(luò)IP以及文件地址)都會(huì)上傳。

　　這恐怕不能用改善用戶(hù)體驗(yàn)這么冠冕堂皇的借口能說(shuō)得通了吧。

　　如果是關(guān)于頁(yè)面呈現(xiàn)這樣的用戶(hù)體驗(yàn)，一次判定足矣，為何要每一個(gè)點(diǎn)擊都上傳，甚至連搜索內(nèi)容都要呢?海豚啊海豚，這么事無(wú)巨細(xì)地拿數(shù)據(jù)，你到底要哪樣?

　　【疑點(diǎn)3】上傳而不存儲(chǔ)URL，不破壞用戶(hù)隱私?

　　根據(jù)Android Police文章中顯示的抓包數(shù)據(jù)顯示，海豚瀏覽器上傳的數(shù)據(jù)中甚至包括用戶(hù)Gmail郵箱地址：

　　筆者也試著通過(guò)抓包測(cè)試了一下海豚瀏覽器，結(jié)果亦然。

　　連郵箱、網(wǎng)銀都不能幸免，而且，由于是明文傳遞，如果用戶(hù)訪(fǎng)問(wèn)網(wǎng)站URL是包含賬戶(hù)密碼參數(shù)的，則隱私畢暴露無(wú)疑。

　　【疑點(diǎn)4】事發(fā)后為何匆匆發(fā)布兩個(gè)版本?新版本已解決問(wèn)題了嗎?

　　事實(shí)上，在號(hào)稱(chēng)已關(guān)閉服務(wù)的7.0.1版海豚瀏覽器中，仍在上傳URL!

　　直到發(fā)布了7.0.2版，這一服務(wù)才徹底關(guān)閉。