„Zoom iOS“ programa siuntė duomenis „Facebook“, net jei vartotojai nėra nariai, atskleidžiama „Teardown“

ZOOM

Vaizdo konferencijų programa „Zoom“, kuri neseniai išgarsėjo ir kurios masinis naudojimas vyko vykstant sveikatos krizėms, slapta siuntė vartotojo duomenis į „Facebook“. Susijęs atradimas buvo atliktas išanalizavus „Zoom iOS“ programą. Panašu, kad programoje, kuri „Facebook“ siuntė didelį kiekį duomenų, vis dar buvo aktyvus nereikalingas SDK.

„Zoom“ išleido skubų savo „iOS“ programos naujinį po to, kai buvo nustatyta, kad platforma siunčia duomenis apie vartotojus į „Facebook“. Stebina tai, kad duomenys buvo siunčiami neatsižvelgiant į tai, ar vartotojai turi „Facebook“ paskyrą, ar ne. Ne iš karto aišku, ar „Zoom“ prieš siųsdamas duomenis „Facebook“ buvo paprašęs ir gavęs aiškių leidimų iš savo vartotojų, tačiau akivaizdu, kad platforma galėjo užtikrinti platų ir išsamų „Sąlygų ir sąlygų“ susitarimą, į kurį įtraukta nuostata.

Populiari vaizdo konferencijų platformos mastelio keitimo problema atnaujinama norint pašalinti kodą, siunčiantį duomenis į „Facebook“:

„Zoom“ išpopuliarėjo po to, kai kelios šalys paskelbė uždarymo įsakymus savo piliečiams, įpareigodami dirbti namuose. Be kitų nuotolinio produktyvumo ir bendradarbiavimo platformų, mažiau žinomos paslaugos „Zoom“ populiarumas išaugo, nes naudojimas sparčiai didėjo. „Zoom“ „iOS“ ir „Android“ programos buvo plačiai vertinamos dėl greičio, aiškumo ir kitų funkcijų.

@zoom_us „iOS“ programa tyliai siunčia duomenis į „Facebook“, net jei neturite paskyros https://t.co/WQYFL03d26

- Beau Parry (@BeauRParry) 2020 m. Kovo 28 d

Nepaisant pranašumų, programa kelia susirūpinimą, nes, matyt, siuntė vartotojo duomenis ir informaciją „Facebook“. Remiantis analizės ataskaita, kurią atliko Pagrindinė plokštė , „Zoom iOS“ programa socialinio tinklo milžinei siuntė informaciją, pvz., kai vartotojas atidarė programą, savo laiko juostą, miestą ir įrenginio informaciją. Kai pasirodė žinia apie potencialų vartotojo privatumą, „Zoom“ greitai paskelbė pareiškimą, kuriame rašoma:

„„ Zoom “nepaprastai rimtai žiūri į savo vartotojų privatumą. Iš pradžių įdiegėme funkciją „Prisijunkite su„ Facebook “naudodami„ Facebook SDK “, kad vartotojams galėtume suteikti dar vieną patogų būdą pasiekti mūsų platformą. Tačiau neseniai mums buvo pranešta, kad „Facebook“ SDK renka nereikalingus įrenginio duomenis. “

Nauja: priartinimas pristato atnaujinimą, kai radome „iOS“ programą, siunčiančią duomenis į „Facebook“. Dabar jie pašalino kodą, kuris siuntė duomenis https://t.co/enXXVwpdQo

- Josephas Coxas (@josephfcox) 2020 m. Kovo 27 d

SDK arba programinės įrangos kūrimo rinkinys yra iš anksto sukompiliuotų kodų rinkinys, kurį kūrėjai dažnai naudoja tam tikrų funkcijų įdiegimui savo programose. Naudojant SDK taip pat gali būti išsiųsti tam tikri duomenys trečiosioms šalims. „Facebook“ mygtukas „Patinka“ ir skiltis „Komentarai“ trečiųjų šalių svetainėse yra puikus tokio kodo, kuris siunčia atgalinę informaciją „Facebook“, pavyzdys.

Akivaizdu, kad „Zoom“ privatumo politika nepaaiškina duomenų perdavimo „Facebook“. Kitaip tariant, atrodo, kad „Zoom“ iš pradžių įgyvendino duomenų siuntimo į „Facebook“ kelią. Pažymėtina, kad duomenys siunčiami į „Facebook“, net jei „Zoom“ vartotojas nėra socialinės žiniasklaidos platformos narys.

Kokius vartotojo duomenis mastelis siuntė į „Facebook“?

Akivaizdu, kad nereikalingas SDK siuntė vartotojo duomenis į „Facebook“. Tačiau duomenys buvo anonimiški, pažymėjo Zoom savo pareiškime, kuriame rašoma:

„Į„ Facebook SDK “surinktus duomenis nebuvo įtraukta jokia asmeninė vartotojo informacija, bet buvo pateikti duomenys apie vartotojų įrenginius, pvz., Mobiliosios OS tipą ir versiją, įrenginio laiko juostą, įrenginio OS, įrenginio modelį ir nešiklį, ekrano dydį, procesorių branduolių ir vietos diske “.

Nesvarbu, ar turite mastelio keitimo paskyrą, ar NE ... Mes galime rinkti šias asmens duomenų kategorijas apie jus:
- vardas, adresas, el. Pašto adresas, telefonas ir kt
- Darbas, pareigos, darbdavys
- Kreditinė kortelė
- „Facebook“ profilis (kai naudojatės „Facebook“ prisijungimu) https://t.co/Wq0ECsLRGK https://t.co/YdTCNneO7F

- Maksas, sausainių monstras (@pccookiemonster) 2020 m. Kovo 28 d

Pasklidus žiniai apie „Facebook“ duomenų rinkimą, „Zoom“ greitai paskelbė „iOS“ programos atnaujinimą. Nepriklausoma programos analizė patvirtino, kad nėra kodo, kuris suaktyvintų duomenų perdavimą „Facebook“ atidarius programą. „Zoom“ savo pareiškime pažymėjo tą patį:

„Mes pašalinsime„ Facebook “SDK ir pertvarkysime funkciją, kad vartotojai vis tiek galėtų prisijungti naudodami„ Facebook “per savo naršyklę. Kad šie pakeitimai įsigaliotų, vartotojai turės atnaujinti naujausią mūsų programos versiją, kai tik ji taps prieinama, ir mes juos raginame tai padaryti. Mes nuoširdžiai atsiprašome už šią priežiūrą ir esame tvirtai pasiryžę apsaugoti savo vartotojų duomenis “.

Pareiškime aiškiai nurodoma, kad „Zoom“ nesijaudina dėl jokių teisinių padarinių, ir užtikrintai šį įvykį vadina „apsauga“. Tačiau šis incidentas įrodo, kad „Facebook“ pasiekiamumas ir galimybė užuosti vartotojo duomenis , anonimizuotas ar ne, yra gana platus.