圖片來源: 

視訊會議平臺Zoom被爆未經用戶同意,就將個人資料分享給臉書,而且即便用戶沒有臉書帳號,資料也會被一併收集送出。在事件發生後,Zoom於自家部落格解釋,是臉書SDK擅自收集不必要的裝置資料,他們已將臉書SDK從新版iOS客戶端應用程式拿掉。

因武漢肺炎疫情加劇,不少企業要求員工在家工作,因此遠端協作工具需求皆大幅增加,其中包括Zoom,從2月24日到3月13日不重複用戶數量就增加了84%,但日前Zoom卻被科技網站Motherboard爆料,iOS用戶在啟動Zoom客戶端應用程式後,會透過臉書的Graph API,傳送用戶資料給臉書。

而Zoom在自家部落格的公告,也證實了這件事,官方表示,他們之所以會在iOS版使用臉書SDK,是為了要實作臉書登入功能,讓用戶可以直接用臉書帳號存取Zoom平臺服務,但他們在3月25日才知道,臉書SDK還收集了多餘的用戶裝置資料,包括作業系統類型和版本、裝置時區、螢幕大小、處理器核心以及磁碟大小等資訊。

不過,Zoom強調,臉書SDK收集的資料,不包括跟視訊會議相關的資訊,像是與會成員、會議名稱和筆記等資料,都沒有與臉書共享。Zoom也決定移除iOS客戶端中的臉書SDK,並重新調整該功能,用戶在瀏覽器仍可以用臉書帳號登入Zoom,新版應用程式已在臺灣時間3月28日開放下載,官方強烈建議用戶更新應用程式到最新版本。

Zoom資訊與隱私安全事件一波接著一波,在去年7月,Zoom的Mac客戶端被資安研究人員踢爆存在零時差漏洞,該零時差漏洞可能讓Mac用戶受到DoS以及資訊洩露攻擊,而且官方處理態度消極,是在網路上輿論發酵之後,才有積極作為。

Zoom會在Mac上安裝一個本地主機網頁伺服器,該伺服器可讓惡意人士對使用者進行DoS攻擊,同時也有可能讓內嵌特殊程式碼的廣告或是網頁,隨意啟動用戶的攝影機,對用戶進行視訊監控。官方解釋,該本地主機網頁伺服器是要讓用戶,能夠快速地啟動Zoom客戶端,減少額外點擊操作之用。

資安人員抨擊,Zoom的這個做法,使Mac客戶端存在根本性的安全問題,因為開了後門,任何網頁都能跟本地主機網頁伺服器互動,而Zoom不該使用這種方法,讓網頁與桌面應用程式互動,資安人員也推測Zoom使用了駭客技術,繞過了瀏覽器Safari的安全保護機制。

更糟糕的是,即便用戶移除了應用程式,這個伺服器仍會存在,而Zoom在受到輿論壓力,不得不發出更新版本,才提供用戶移除本地主機網頁伺服器的選項。而由於並非所有用戶都會積極地更新應用程式,因此Apple也直接發布Mac更新,從背景移除存在用戶Mac電腦中,Zoom的本地主機網頁伺服器。


Advertisement

更多 iThome相關內容