- A+
在报告发现该应用发送Facebook“不必要”的用户数据后,Zoom删除了其iOS版Facebook SDK的功能。
在报告显示这种做法引发愤怒之后,Zoom删除了其iOS网络会议应用程序中与Facebook共享分析数据的功能。
根据上周最初披露隐私问题的主板报告 ,传输的信息包括有关用户打开应用程序的时间,用户的时区,设备操作系统,设备型号和载体,屏幕大小,处理器核心和磁盘空间的数据。 Zoom的隐私权政策并未明确说明它正在将数据传输到Facebook。
Zoom在周五的帖子中表示 ,Zoom现已删除了适用于iOS的“使用Facebook登录”软件开发套件(SDK),该套件是与数据共享相关的功能:“我们的客户的隐私对我们非常重要,因此我们决定在我们的iOS客户端中删除Facebook SDK,并重新配置了该功能,以便用户仍然能够通过其浏览器登录Facebook。” Zoom的创始人Eric Yuan说。
Zoom拒绝说他们打算共享此信息,而是说:“我们在2020年3月25日(星期三)获悉,Facebook SDK正在收集对于我们提供服务而言不必要的设备信息。”
适用于iOS的Facebook SDK在应用程序中并不罕见。 它使Zoom用户可以使用其Facebook凭据更轻松地登录会议平台。 过去,这些类型的SDK已被滥用来从移动应用程序中抓取数据 。
对于隐私权提倡者来说,部分问题是Zoom的隐私权政策缺乏透明性,即共享哪些数据以及与谁共享数据。 网络会议平台的政策 (已于3月29日星期日更新)最初指出:“当您使用我们的第三方服务提供商和广告合作伙伴(例如Google Ads和Google Analytics(分析))时,会自动收集有关您的一些信息产品,”,而没有提供与Facebook共享数据的更多信息。
Lookout安全解决方案总监Chris Hazelton告诉Threatpost,Lookout研究人员分析了截至周一早上Zoom的最新iOS版本(4.6.9),并确认他们仍在与Zoom API的当前iOS版本中的Facebook API通信。 但是,这并不意味着数据共享功能还没有被杀死,Hazelton说,“只是该应用程序仍在与Facebook通信。”
Hazelton告诉Threatpost:“ Zoom确实将其应用程序更新为4.6.9版本,该版本已更新至三天,以改善“ Facebook登录名”。 “该应用程序可与美国,中国,印度和德国的IP通信。 这是为了利用阿里巴巴,Box,Dropbox,Facebook,Google,Microsoft,Ringcentral,微信和QQ的API。”
在Zoom的星期五更新中,袁强调,Facebook SDK收集的信息不包括与会议有关的信息和活动,例如与会人员,姓名或便笺。 完整的数据列表如下:
袁说,用户需要更新到Zoom应用程序的最新版本,该应用程序已删除了Facebook数据传输。 他说:“我们对由此引起的关注表示由衷的歉意,并坚定致力于保护用户的隐私。” “我们正在审查我们将来用于实现这些功能的过程和协议,以确保不会再次发生这种情况。”
Thycotic的首席信息安全官Terence Jackson告诉Threatpost,应用程序用户在使用“登录”功能时必须保持勤奋。
他说:“ Zoom的隐私权政策规定,当使用Facebook登录时,该公司可能会收集用户的Facebook个人资料信息,但是,它没有提到向Facebook发送数据。” “这也应该提醒用户至少在注册前略过隐私策略,以查找如何使用,存储和传输您的数据。”
在过去的几周中, 由于冠状病毒大流行,越来越多的员工在家工作 ,Zoom的受欢迎程度激增。 但是,人们对网络会议系统的隐私和安全性的关注也日益增加。
例如,电子前沿基金会(EFF)最近警告了各种潜在的侵犯隐私的Zoom功能 。 例如,Zoom呼叫主机可以在屏幕共享时监视与会者的活动。 Zoom管理员还可以查看有关用户如何,何时以及在何处使用Zoom的详细视图。
上周,Zoom的官员向其视频会议平台的用户发布了提示 ,以帮助避免在在线会议期间被巨魔和更严重的威胁人物“炸开”。
您是否遭受密码疲劳? 美国东部时间4月8日(星期三)下午2点 ,我们将 加入 Duo Security and Threatpost,探索无密码的未来。 这个免费的网络研讨会勾勒了一个未来,在这个未来中,现代身份验证标准(如WebAuthn)将大大减少对密码的依赖。 我们还将探讨与Microsoft的合作如何减少对密码的依赖。 请在这里注册,然后敢问:“ 密码被高估了吗? ”在此赞助的网络研讨会中。