会议软件Zoom偷偷向脸书发送用户数据被告 相关SDK已移除
美国日益严峻的新冠肺炎疫情让远程办公行业成为风口。
在视频会议软件Zoom借助疫情的东风”一炮而红的当口,却被曝出未告知用户便向Facebook发送用户数据,还会泄露姓名、头像和邮箱地址给陌生人。
3月28日,Zoom发布更新,改进了相关功能,第二天又发布了新版隐私政策,与第三方广告商共享数据的条款得到细化。经科技媒体《Motherboard》验证,最新版App不再在开启时向Facebook发送数据。
...1...
Zoom向Facebook发送用户设备信息
最新数据显示,美国累计确诊人数直逼20万。据南都记者不完全统计,目前已有至少14个州和23个自治市下令要求居民待在家中,另有至少三个州和11个自治市的命令即将生效,涉及美国超过一半人口。
疫情之下,远程办公、上学成了刚需,Zoom站上了风口。
从1月底至今,Zoom的市值实现翻番。3月30日数据显示,占有最大市场份额的Zoom在美国的日活用户数达到创纪录的484万,是第二名的三倍。
3月26日,《Motherboard》刊文指出,在iOS系统下载或打开Zoom App时,App内嵌的Facebook SDK(软件开发工具包)会向Facebook传送用户的手机型号、时区、城市、运营商以及广告唯一标识符等信息。
这不仅仅发生在用户使用Facebook账号登录Zoom的时候,也发生在压根儿没有Facebook账号的用户身上——他们的信息也被发送给了Facebook。
事实上,Facebook就旗下SDK 可能收集用户数据一事做出了清晰地说明:包括Facebook在内的第三方可能从你和其他App上收集或获取信息,并用于提供评估服务和定向广告。”
由于用户对SDK难以感知,Zoom有义务在隐私政策中明确告知SDK的存在。Facebook也严格规定:如果你使用我们的SDK,就代表你保证就用户数据收集、共享和使用向用户提供了足够有力且明确的告知。”
然而,Zoom的隐私政策里仅提到:我们的第三方服务提供商和广告合作商(比如谷歌广告和谷歌分析)会自动收集你在使用我们产品时的一些信息”,但只字未提Facebook,以及具体会涉及哪些信息。
...2...
Zoom:已移除Facebook SDK
次日,Zoom CEO Eric Yuan发表了回应。
他解释,一直到3月25日,他们才发现Facebook SDK收集了不必要的设备信息,但这些信息不包括参会者的姓名和笔记等,而是诸如广告唯一标识符、IP地址、磁盘空间等设备相关信息。
我们决定从iOS客户端移除Facebook SDK,并修改了相关功能,现在用户仍然可以使用Facebook账号从浏览器登录Zoom。”他表示,用户已经可以下载最新版Zoom。
我们真诚地为此次事件引发的关注道歉,也将持续致力于保护用户隐私”,Yuan说,我们正在审查流程和协议,以便将来实现这些功能时,类似事件不会再次发生。”
29日,Zoom进一步修改了隐私政策,称从未出于广告目的向第三方提供有关Zoom用户活动的任何数据(包括视频、音频和聊天内容),用户可点击网站底部的Cookie选项修改。
最重要的是,Zoom不会挖掘用户数据或向任何人出售任何用户数据。”Zoom在公告里写道。
...3...
加州居民告Zoom违反消费者隐私法案
尽管Zoom信誓旦旦不会侵犯用户隐私,但基于此前未明确告知用户就允许第三方SDK收集用户数据的行为,美国加利福尼亚州居民Rober Cullen还是对它提起了诉讼。
广告唯一标识符允许公司向用户精准推送广告……这些信息被Zoom发送给了Facebook,无论用户有没有Facebook账号。”诉状称,如果Zoom事先告知其没有足够的安全能力,并允许第三方获取用户的个人信息,我们不会使用它”。
因此,Cullen认为,Zoom违反了《加州反不正当竞争法》《消费者法律救济法》。此外,还因收集消费者个人信息前未充分告知、未经授权披露消费者个人信息,违反了《加州消费者隐私法案》的相关条款。
诉状还提到,Zoom通过共享用户数据获利,但并未披露具体金额。
南都记者了解到,纽约州总检察长Letitia James已要求Zoom提供将如何保护用户数据的细节说明。她在信中表示,她担心Zoom现有的安全措施可能不足以适应最近激增的网络传输量和敏感数据。”
尽管Zoom修复了特定的安全漏洞,但我们仍想了解Zoom是否对其安全实践进行了更广泛的审查。”James说。对此,Zoom发言人回应称,将按照James的要求提供相关信息。
...4...
新漏洞会泄露用户姓名照片邮箱
3月31日,Zoom的另一个功能设置漏洞被《Motherboard》的同一个作者发现。
Zoom的公司目录”下会展示使用同一邮箱域名的同事姓名、头像和邮箱,由系统自动判断,省掉了一个个添加同事的麻烦。但也带来了一个隐患:如果用户用私人邮箱注册,可能会看到同样使用该邮箱域名的陌生人。
如果你用一个非标准服务商的邮箱(Gmail、Hotmail或雅虎等常用域名之外的域名)订阅Zoom,你可以看到所有使用那个小众域名的用户……你还可以给他们打视频电话。”Zoom用户Barend Gehrels说。
对此,Zoom发言人表示,Zoom 有一个域名表,会定期主动标识要添加的域名。Gehrels 反映的域名刚好不在此列,不过目前已经添加。他还提到,用户可以在公司目录”功能中要求移除特定域名。
据悉,此前Zoom在个人隐私保护方面就遭受过不少质疑。
去年七月,一个安全研究员披露了Zoom的一个漏洞,任意网站都可以在不申请授权的情况下触发苹果电脑的摄像头。今年一月,又有安全公司发现Zoom存在被黑客监听通话的漏洞。
最近,电子前沿基金会指出,会议组织者可以看到参会者的Zoom窗口是否打开,也就是说,他们可以监控人们是否在专心开会。此外,管理员还能看到每个参会者的IP地址、位置信息和设备信息。
截至发稿,Zoom暂未作出回应。
综合、编译:南都记者蒋琳
SDK放置后门,绑架开发者和用户,还有什么是Facebook不敢的吗?
Facebook(中文称脸书)是美国的一个社交网站,在全球范围内广受欢迎(除了中国大陆、巴基斯坦、朝鲜、伊朗、叙利亚等10几个国家)。它和我们常用的微信比较相似,都是以实时通讯为主的社交产品。Facebook中更多的是加入了照片分享、朋友互动等多元的社交概念,其公司旗下,更是涵盖了2018年全球网友中使用率最高的10款软件中的四款:Facebook、WhatsApp、Facebook Messenger和Instagram。
由于历史和安全原因,国内的用户并不能直接访问Facebook。虽然不能直接体验其功能,但作为一个市值远超腾讯1000多亿美金的互联网巨头,其产品的功能和安全也饱受广大国内用户的关注,毕竟Facebook在2018年的中国广告客户收入达到50亿美元,约占其总销售额的10%。
今天,我们主要讨论的是其对隐私数据的收集问题,让更多的朋友们了解。
Facebook的隐私和安全事件回顾Facebook创始人
2018年3月,媒体报道:Cambridge Analytica公司,通过不正当手段访问了Facebook中8700万的用户数据,舆论一片哗然。另外有人分析,其曾在美国总统选举中发挥了重大的作用……2018年6月,媒体公开了Facebook 与苹果、亚马逊、三星、微软、黑莓等 60 家硬件设备厂商达成了数据分享的合作,后者可以获得 Facebook 用户以及用户好友的数据,包括感情状态、宗教信仰、政治倾向以及活动预告。2018年9月,Facebook遭受了有史以来最严重的数据泄露,影响了超过5000万的用户,其中包括老板小札,其本人也接受了美国国会的质询。2018年12月,一份重磅炸弹报告爆出:Facebook允许超过150家公司(包括Netflix,Spotify和Bing)访问前所未有的用户数据(如私人消息、好友信息等),一些合作伙伴甚至能写入和删除用户的私人消息。2024年1月,苹果公司禁止了Facebook用来收集用户数据的Market Research应用,并一度关闭了Facebook的开发者账号,其导火索便是其2013年收购的VPN软件Onavo。Onavo通过技术手段,试图避开苹果的监管机制,进而收集用户的隐私敏感数据。(最新消息显示,Facebook已经停止了Onavo项目,继从Apple Store下架之后,也从谷歌的Google Play市场下架)2024年2月,媒体曝出,有至少十几个热门应用,在未经用户同意的情况下秘密分享高度敏感”的数据,并上传到Facebook,不管你是不是Facebook的用户。疯狂的市场研究(Market Research)Facebook的成功,是抓住了互联网社交的机遇。从大学时代的照片排名,到后来的实时通讯,再到分享互动,让更多的网友在互联网的世界里体验到了社交的乐趣……
但其真正厉害的确是背后强大的运营。众所周知,Facebook是一款免费的社交网络产品,其收入来源主要就是广告,而怎么才能吸引广告主的青睐呢?靠的正是收集的全球几十亿用户的使用数据。
Facebook旗下的软件,能够在用户的授意或非授意中获取用户的使用数据,并上传到其服务器。这些数据中会包括用户的基本信息:如姓名、年龄、地域等。也包括用户的使用习惯:如经常访问的网页、经常使用的App、购买爱好等等。
有了这些数据,它就可以提炼精准的市场调研信息,进而为广告主提供更加精准的广告服务,虽然在中国不能正常使用Facebook,有好多人也不知道Facebook的存在,但其在中国2018年的广告收入却有50多亿美元,占其总收入的10%。
有了这些数据,合作方可以精准的投放自己的产品,甚至干扰市场,打击对手等等。
流量是王道,但其背后收集的数据才是真正的强者。抛开Facebook,另一家巨头谷歌(Google)也是一丘之貉,其基础服务(搜索引擎)背后,不也是强大的数据收集和广告推送吗?
在人人都说大数据的时代,如何才能建立起自己的大数据库?靠的不就是庞大的用户基数吗?
而现在,不关是Facebook本身,其它第三方的软件也能偷偷的给Facebook发送隐私数据,究竟是怎么一回事呢?
丧心病狂的SDK最近,媒体批漏:有好多款应用,在用户不知情的情况下,偷偷的将自己的隐私数据,发送到Facebook的服务器,而造成这次事件的主要原因就是,Facebook的SDK中含有后门,是关于事件处理(应用程序事件App Events)的。
SDK是什么?
SDK是软件开发工具包(Software Development Kit)的简称,是一些被软件工程师用于为特定的软件包、软件框架、硬件平台、操作系统等创建应用软件的开发工具的集合。简而言之,就是程序员用来开发产品时用到的工具包。
首先,这些产品都是使用了Facebook所提供的SDK,作为一个软件开发人员,深知SDK在开发中的重要性,如果连最基础的SDK都留有一手,那用户岂不是要遭受开发者和SDK的双重迫害?
其次,应用程序事件(App Events)是什么?我虽然没有用过Facebook的SDK开发过软件,但根据其名称推测,是跟事件处理息息相关的。
什么是事件处理?
应用程序中的事件处理通常指的是人和程序的交互过程,也就是说你使用这个应用程序的过程中的所有操作,都是由事件处理来完成的。如:打开、关闭、点击、触摸、翻页等等这些操作,应用程序都会给你反馈不同的信息。
事件处理的种类繁多,操作隐秘,而大部分也不会涉及权限操作,所以用户根本无法察觉。如果在此时,将用户的敏感数据上传,用户可能永远也不会知道,而系统也鲜有发觉。真的是隐秘而伟大”了。
我其实很想知道,同样是Facebook的React Native混合开发框架,会不会也有疑似的后门?
后话关注用户隐私,已成为了互联网的一件大事。网络的快速发展、应用程序的便捷给广大的消费者带来了实惠,但也带来了意想不到的安全隐患。民众更为在意隐私的国外和大公司尚且如此,我们刚刚蓬勃的国内市场又该如何?
前几天,京东金融的疑似上传用户照片,一经曝光也是哗然一片。国内很多公司,大都以Facebook为标杆,相信对隐私数据的处理方式,也不会比Facebook好到哪里去!几天前,官媒曾发表一篇文章:指出搜索某个东西,然后看见的全是关于这个东西的广告,这又能说明什么?在互联网的背景下,所有的数据来源都是不约而同的!
有人说,一天到晚讨论国外的公司、国外的隐私干什么?殊不知,在互联网的环境下,国界有时候并不是那么清晰,而且你不知道、你没听过的东西,正在悄悄的影响着你。Facebook的App你可能用不着,但很多由Facebook提供的SDK或是框架(React Native)开发的软件却正在被你使用!
再者,通过轰动全球的隐私事件,也能更好的警醒国内的软件开发者,商亦有道,用户第一!人人都在说苹果公司的不好,但苹果在处理用户的隐私方面却从来没有”含糊过,其在贵州云上存储,最起码能让国民的数据保留在国内……