再掀資安疑慮!Zoom App 傳資料到 Facebook,隱私條款卻未盡告知義務

Zoom app 會傳送資料給 Facebook,這不是很稀奇,但是它的使用者條款卻沒有說清楚,甚至他們也是最近才發現傳了一些「不必要的資訊」給 Facebook。還好 Zoom 馬上做出回應並答應拿掉部分功能來避免影響使用者隱私。
評論
Shutterstock/達志影像
Shutterstock/達志影像
評論

在武漢肺炎疫情下遠端需求暴漲,視訊會議軟體 Zoom 最近成了當紅炸子雞。不過去年 Zoom 還有攝影機被駭的漏洞(現已修復)已經爆發一波資安爭議。

現在外媒 Motherboard 分析 Zoom 的 iOS app,發現不論你有沒有 Facebook 帳號, Zoom 都會持續透過 Graph API 傳送資料給 Facebook,而且背後用途不明。

其實許多 app 都有可能在開發過程中用到 Facebook 的 SDK 開發工具,因此會和 Facebook 傳輸資料其實算正常。經過檢驗,Zoom 傳給 Facebook 的資料包括手機型號、時區、所在城市、電信商,以及精準行銷用的廣告 ID。

然而經過檢視 Zoom app 的隱私條款,雖然有表明可能用利用使用者的「 Facebook 帳號公開資料」,卻發現條款裡面並沒有提到,就算你沒有 Facebook 帳號,一樣會傳送這些數據給 Facebook。

Facebook 回應,他們在規範中有提到,app 開發者必須告知使用者,Facebook 會搜集他們使用當下或其他 app 的數據,用來提供客製化服務以及投放廣告。但在 Zoom 的規範中,除了提到會用到公開的 Facebook 資料,其他只有使用數據會拿來投放廣告,但沒有特別提到會傳送這些資訊給 Facebook。

Zoom 稍後也道歉,表示這是用在以 Facebook 帳號登入的功能,不過他們現在知道 Facebook 會搜集這些非必要數據,因此接下來幾天內會把 Facebook SDK 從 app 拿掉,並且調整 Facebook 登入功能,讓使用者透過瀏覽器登入。現在 Zoom 已推出修補希望各位使用者能儘速更新。

僅管 Zoom 並非第一次有資安疑慮,但其實許多視訊軟體都會碰到類似問題,不論是軟體漏洞、使用條款模糊,或是會議室帳號密碼遭到社交工程攻擊,不管用什麼遠端工具視訊協作都要注意。建議可以參考「有關 Zoom 的資安疑慮與建議」、「遠距辦公資安要顧!資策會呼籲:小心駭客三大手法」,了解更多資訊安全防護觀念。

延伸閱讀: