即使你没有脸书账户,IOS版ZOOM也会悄悄传输数据!
疫情肆虐期,在线通讯软件走进千万家。国内的钉钉、腾讯会议像他们的兄弟APP淘宝、微信一样,在全民心中有了姓名,而国外的视频会议软件 Zoom 也随着远程办公不断走俏。但据近日外媒报道,iOS 版本的 Zoom 未在隐私条款中提前说明,就将用户数据共享给脸书,即便用户没有脸书账号也是如此。
Zoom 是国外目前最流行的软件之一,据 Sensor Tower 数据,Zoom 的下载量近期增长了 109% 。Zoom 创始人是华人创业家袁征,1997家他加入朱敏在硅谷创立的视像会议技术公司 WebEx ——后来成为垂直行业老大,2007 年以 32 亿美元卖给 Cisco。
2019年4月,Zoom 上市,其时有人评价,今天的袁征就是当年的杨致远。而在最近美股史诗般熔断中,它的表现更加亮眼,股价从1月31日收盘76.30美元上涨至3月27日151.70美元,涨幅高达98.82%,总市值升至423亿元。
就是这样一家明星公司,近日却被爆出一直存在这样一个隐私漏洞。与脸书分享的数据包括 iPhone 或iPad 型号、时区、城市、电话运营商和一个可用于广告定位的唯一标识符等。这个漏洞最早由 Motherboard 发现,后来也得到了一位 IOS 安全研究员 Will Strafach 的验证。
据雷锋网 (公众号:雷锋网) AI源创评论了解,这个数据共享的过程是这样的:用户下载并打开app后,Zoom 会连接到脸书的 Graph API。这个 Graph API 就是开发者与脸书交流数据的主要方式。
Zoom 并没有主动收集数据或将数据传输到脸书。Zoom 条款中与此相关有两条,但都未对与脸书之间的数据交换作出详尽解释。
条款一,公司可能会收集用户的“脸书个人资料信息(当你使用脸书登录我们的产品或为我们的产品创建一个账户时)”,但没有明确提到也会将没有脸书账户的 Zoom 用户的数据分享到脸书;条款二,“当你使用我们的产品时,我们的第三方服务提供商和广告合作伙伴(如谷歌广告)会自动收集一些关于你的信息”。
事实上,很多APP都在使用 Facebook 的 SDK,毕竟方便应用开发,这种数据传输并不少见。而脸书那边要求的是,不应该在用户不知晓的情况下就这么做。
脸书方面认为,Zoom 用户可能不知道这种情况正在发生,也不知道当他们使用一种产品时,他们可能正在向另一种服务提供数据。“如果您使用我们的 pixels 或 SDKs ,您将进一步表示并保证您已经向用户提供了关于客户数据收集、共享和使用的可靠且足够显著的通知”,特别是对于 app ,“包括脸书在内的第三方可能会从用户的应用和其他应用中收集或接收信息,并使用这些信息来提供个性化服务或广告。”
据了解,这不是 Zoom 第一次出现隐私问题。去年还被爆出一个漏洞问题是, 网站端在没有事先征得同意能够激活MAC的网络摄像头 。EFF 电子前沿基金会(Electronic Frontier Foundation)还指出,Zoom 房间的发起者的权限也过大,他们不仅可以看到参与者是否打开了 Zoom 窗口,还可以看到每个参与者的IP地址、位置数据和设备信息。
在 Motherboard 和外媒报道几天后,Zoom 在给 Motherboard 的声名中承认了这个漏洞。他们表示,他们将在近日删除脸书的SDK,并重新配置该功能,用户使用流程不变,仍然可以通过浏览器用他们的脸书账号登录 Zoom,用户需要更新到最新版本,这个功能才会生效。
参考
https://9to5mac.com/2020/03/27/zoom-ios-app/
https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account
雷锋网雷锋网
雷锋网版权文章,未经授权禁止转载。详情见。