会议软件Zoom偷偷向脸书发送用户数据被告 相关SDK已移除

美国日益严峻的新冠肺炎疫情让远程办公行业成为风口。

在视频会议软件Zoom借助疫情的东风”一炮而红的当口，却被曝出未告知用户便向Facebook发送用户数据，还会泄露姓名、头像和邮箱地址给陌生人。

3月28日，Zoom发布更新，改进了相关功能，第二天又发布了新版隐私政策，与第三方广告商共享数据的条款得到细化。经科技媒体《Motherboard》验证，最新版App不再在开启时向Facebook发送数据。

...1...

Zoom向Facebook发送用户设备信息

最新数据显示，美国累计确诊人数直逼20万。据南都记者不完全统计，目前已有至少14个州和23个自治市下令要求居民待在家中，另有至少三个州和11个自治市的命令即将生效，涉及美国超过一半人口。

疫情之下，远程办公、上学成了刚需，Zoom站上了风口。

从1月底至今，Zoom的市值实现翻番。3月30日数据显示，占有最大市场份额的Zoom在美国的日活用户数达到创纪录的484万，是第二名的三倍。

3月26日，《Motherboard》刊文指出，在iOS系统下载或打开Zoom App时，App内嵌的Facebook SDK（软件开发工具包）会向Facebook传送用户的手机型号、时区、城市、运营商以及广告唯一标识符等信息。

这不仅仅发生在用户使用Facebook账号登录Zoom的时候，也发生在压根儿没有Facebook账号的用户身上——他们的信息也被发送给了Facebook。

事实上，Facebook就旗下SDK 可能收集用户数据一事做出了清晰地说明：包括Facebook在内的第三方可能从你和其他App上收集或获取信息，并用于提供评估服务和定向广告。”

由于用户对SDK难以感知，Zoom有义务在隐私政策中明确告知SDK的存在。Facebook也严格规定：如果你使用我们的SDK，就代表你保证就用户数据收集、共享和使用向用户提供了足够有力且明确的告知。”

然而，Zoom的隐私政策里仅提到：我们的第三方服务提供商和广告合作商（比如谷歌广告和谷歌分析）会自动收集你在使用我们产品时的一些信息”，但只字未提Facebook，以及具体会涉及哪些信息。

...2...

Zoom：已移除Facebook SDK

次日，Zoom CEO Eric Yuan发表了回应。

他解释，一直到3月25日，他们才发现Facebook SDK收集了不必要的设备信息，但这些信息不包括参会者的姓名和笔记等，而是诸如广告唯一标识符、IP地址、磁盘空间等设备相关信息。

我们决定从iOS客户端移除Facebook SDK，并修改了相关功能，现在用户仍然可以使用Facebook账号从浏览器登录Zoom。”他表示，用户已经可以下载最新版Zoom。

我们真诚地为此次事件引发的关注道歉，也将持续致力于保护用户隐私”，Yuan说，我们正在审查流程和协议，以便将来实现这些功能时，类似事件不会再次发生。”

29日，Zoom进一步修改了隐私政策，称从未出于广告目的向第三方提供有关Zoom用户活动的任何数据（包括视频、音频和聊天内容），用户可点击网站底部的Cookie选项修改。

最重要的是，Zoom不会挖掘用户数据或向任何人出售任何用户数据。”Zoom在公告里写道。

...3...

加州居民告Zoom违反消费者隐私法案

尽管Zoom信誓旦旦不会侵犯用户隐私，但基于此前未明确告知用户就允许第三方SDK收集用户数据的行为，美国加利福尼亚州居民Rober Cullen还是对它提起了诉讼。

广告唯一标识符允许公司向用户精准推送广告……这些信息被Zoom发送给了Facebook，无论用户有没有Facebook账号。”诉状称，如果Zoom事先告知其没有足够的安全能力，并允许第三方获取用户的个人信息，我们不会使用它”。

因此，Cullen认为，Zoom违反了《加州反不正当竞争法》《消费者法律救济法》。此外，还因收集消费者个人信息前未充分告知、未经授权披露消费者个人信息，违反了《加州消费者隐私法案》的相关条款。

诉状还提到，Zoom通过共享用户数据获利，但并未披露具体金额。

南都记者了解到，纽约州总检察长Letitia James已要求Zoom提供将如何保护用户数据的细节说明。她在信中表示，她担心Zoom现有的安全措施可能不足以适应最近激增的网络传输量和敏感数据。”

尽管Zoom修复了特定的安全漏洞，但我们仍想了解Zoom是否对其安全实践进行了更广泛的审查。”James说。对此，Zoom发言人回应称，将按照James的要求提供相关信息。

...4...

新漏洞会泄露用户姓名照片邮箱

3月31日，Zoom的另一个功能设置漏洞被《Motherboard》的同一个作者发现。

Zoom的公司目录”下会展示使用同一邮箱域名的同事姓名、头像和邮箱，由系统自动判断，省掉了一个个添加同事的麻烦。但也带来了一个隐患：如果用户用私人邮箱注册，可能会看到同样使用该邮箱域名的陌生人。

如果你用一个非标准服务商的邮箱（Gmail、Hotmail或雅虎等常用域名之外的域名）订阅Zoom，你可以看到所有使用那个小众域名的用户……你还可以给他们打视频电话。”Zoom用户Barend Gehrels说。

对此，Zoom发言人表示，Zoom 有一个域名表，会定期主动标识要添加的域名。Gehrels 反映的域名刚好不在此列，不过目前已经添加。他还提到，用户可以在公司目录”功能中要求移除特定域名。

据悉，此前Zoom在个人隐私保护方面就遭受过不少质疑。

去年七月，一个安全研究员披露了Zoom的一个漏洞，任意网站都可以在不申请授权的情况下触发苹果电脑的摄像头。今年一月，又有安全公司发现Zoom存在被黑客监听通话的漏洞。

最近，电子前沿基金会指出，会议组织者可以看到参会者的Zoom窗口是否打开，也就是说，他们可以监控人们是否在专心开会。此外，管理员还能看到每个参会者的IP地址、位置信息和设备信息。

截至发稿，Zoom暂未作出回应。

综合、编译：南都记者蒋琳

SDK放置后门，绑架开发者和用户，还有什么是Facebook不敢的吗？

Facebook（中文称脸书）是美国的一个社交网站，在全球范围内广受欢迎（除了中国大陆、巴基斯坦、朝鲜、伊朗、叙利亚等10几个国家）。它和我们常用的微信比较相似，都是以实时通讯为主的社交产品。Facebook中更多的是加入了照片分享、朋友互动等多元的社交概念，其公司旗下，更是涵盖了2018年全球网友中使用率最高的10款软件中的四款：Facebook、WhatsApp、Facebook Messenger和Instagram。

由于历史和安全原因，国内的用户并不能直接访问Facebook。虽然不能直接体验其功能，但作为一个市值远超腾讯1000多亿美金的互联网巨头，其产品的功能和安全也饱受广大国内用户的关注，毕竟Facebook在2018年的中国广告客户收入达到50亿美元，约占其总销售额的10％。

今天，我们主要讨论的是其对隐私数据的收集问题，让更多的朋友们了解。

Facebook的隐私和安全事件回顾

Facebook创始人

2018年3月，媒体报道：Cambridge Analytica公司，通过不正当手段访问了Facebook中8700万的用户数据，舆论一片哗然。另外有人分析，其曾在美国总统选举中发挥了重大的作用……2018年6月，媒体公开了Facebook 与苹果、亚马逊、三星、微软、黑莓等 60 家硬件设备厂商达成了数据分享的合作，后者可以获得 Facebook 用户以及用户好友的数据，包括感情状态、宗教信仰、政治倾向以及活动预告。2018年9月，Facebook遭受了有史以来最严重的数据泄露，影响了超过5000万的用户，其中包括老板小札，其本人也接受了美国国会的质询。2018年12月，一份重磅炸弹报告爆出：Facebook允许超过150家公司（包括Netflix，Spotify和Bing）访问前所未有的用户数据（如私人消息、好友信息等），一些合作伙伴甚至能写入和删除用户的私人消息。2024年1月，苹果公司禁止了Facebook用来收集用户数据的Market Research应用，并一度关闭了Facebook的开发者账号，其导火索便是其2013年收购的VPN软件Onavo。Onavo通过技术手段，试图避开苹果的监管机制，进而收集用户的隐私敏感数据。（最新消息显示，Facebook已经停止了Onavo项目，继从Apple Store下架之后，也从谷歌的Google Play市场下架）2024年2月，媒体曝出，有至少十几个热门应用，在未经用户同意的情况下秘密分享高度敏感”的数据，并上传到Facebook，不管你是不是Facebook的用户。疯狂的市场研究（Market Research）

Facebook的成功，是抓住了互联网社交的机遇。从大学时代的照片排名，到后来的实时通讯，再到分享互动，让更多的网友在互联网的世界里体验到了社交的乐趣……

但其真正厉害的确是背后强大的运营。众所周知，Facebook是一款免费的社交网络产品，其收入来源主要就是广告，而怎么才能吸引广告主的青睐呢？靠的正是收集的全球几十亿用户的使用数据。

Facebook旗下的软件，能够在用户的授意或非授意中获取用户的使用数据，并上传到其服务器。这些数据中会包括用户的基本信息：如姓名、年龄、地域等。也包括用户的使用习惯：如经常访问的网页、经常使用的App、购买爱好等等。

有了这些数据，它就可以提炼精准的市场调研信息，进而为广告主提供更加精准的广告服务，虽然在中国不能正常使用Facebook，有好多人也不知道Facebook的存在，但其在中国2018年的广告收入却有50多亿美元，占其总收入的10%。

有了这些数据，合作方可以精准的投放自己的产品，甚至干扰市场，打击对手等等。

流量是王道，但其背后收集的数据才是真正的强者。抛开Facebook，另一家巨头谷歌（Google）也是一丘之貉，其基础服务（搜索引擎）背后，不也是强大的数据收集和广告推送吗？

在人人都说大数据的时代，如何才能建立起自己的大数据库？靠的不就是庞大的用户基数吗？

而现在，不关是Facebook本身，其它第三方的软件也能偷偷的给Facebook发送隐私数据，究竟是怎么一回事呢？

丧心病狂的SDK

最近，媒体批漏：有好多款应用，在用户不知情的情况下，偷偷的将自己的隐私数据，发送到Facebook的服务器，而造成这次事件的主要原因就是，Facebook的SDK中含有后门，是关于事件处理（应用程序事件App Events）的。

SDK是什么？

SDK是软件开发工具包（Software Development Kit）的简称，是一些被软件工程师用于为特定的软件包、软件框架、硬件平台、操作系统等创建应用软件的开发工具的集合。简而言之，就是程序员用来开发产品时用到的工具包。

首先，这些产品都是使用了Facebook所提供的SDK，作为一个软件开发人员，深知SDK在开发中的重要性，如果连最基础的SDK都留有一手，那用户岂不是要遭受开发者和SDK的双重迫害？

其次，应用程序事件（App Events）是什么？我虽然没有用过Facebook的SDK开发过软件，但根据其名称推测，是跟事件处理息息相关的。

什么是事件处理？

应用程序中的事件处理通常指的是人和程序的交互过程，也就是说你使用这个应用程序的过程中的所有操作，都是由事件处理来完成的。如：打开、关闭、点击、触摸、翻页等等这些操作，应用程序都会给你反馈不同的信息。

事件处理的种类繁多，操作隐秘，而大部分也不会涉及权限操作，所以用户根本无法察觉。如果在此时，将用户的敏感数据上传，用户可能永远也不会知道，而系统也鲜有发觉。真的是隐秘而伟大”了。

我其实很想知道，同样是Facebook的React Native混合开发框架，会不会也有疑似的后门？

后话

关注用户隐私，已成为了互联网的一件大事。网络的快速发展、应用程序的便捷给广大的消费者带来了实惠，但也带来了意想不到的安全隐患。民众更为在意隐私的国外和大公司尚且如此，我们刚刚蓬勃的国内市场又该如何？

前几天，京东金融的疑似上传用户照片，一经曝光也是哗然一片。国内很多公司，大都以Facebook为标杆，相信对隐私数据的处理方式，也不会比Facebook好到哪里去！几天前，官媒曾发表一篇文章：指出搜索某个东西，然后看见的全是关于这个东西的广告，这又能说明什么？在互联网的背景下，所有的数据来源都是不约而同的！

有人说，一天到晚讨论国外的公司、国外的隐私干什么？殊不知，在互联网的环境下，国界有时候并不是那么清晰，而且你不知道、你没听过的东西，正在悄悄的影响着你。Facebook的App你可能用不着，但很多由Facebook提供的SDK或是框架（React Native）开发的软件却正在被你使用！

再者，通过轰动全球的隐私事件，也能更好的警醒国内的软件开发者，商亦有道，用户第一！人人都在说苹果公司的不好，但苹果在处理用户的隐私方面却从来没有”含糊过，其在贵州云上存储，最起码能让国民的数据保留在国内……