Журналисты издания Vice Motherboard обнаружили, что после вышедшего на прошлой неделе обновления приложения Zoom для iOS, оно стало передавать данные о пользователях компании Facebook, даже если у тех не было учетной записи в социальной сети.
Сейчас популярность Zoom стремительно растет в связи с пандемией COVID-19, ведь все больше людей оказываются в самоизоляции и вынуждены работать и общаться исключительно удаленно. Акции компании на этом фоне тоже демонстрируют быстрый рост.
Стоит заметить, что журналисты Vice Motherboard критиковали Zoom и ранее. К примеру, недавно издание изучало представленные на рынке решения для организации видеоконференций и отмечало, что видеовызовы в Zoom по умолчанию не имеют сквозного шифрования, и приложение предлагает жутковатые функции вроде attention tracking. С помощью этой функции можно отслеживать внимание участников беседы, и обнаруживать, когда человек отвлекся от активного окна Zoom более чем на полминуты.
Более того, припомнили Zoom и прошлогоднюю уязвимость. Тогда при установке на macOS приложение поднимало на машине пользователя локальный веб-сервер с недокументированным API, который оставался в системе даже после удаления самого приложения и сохранял активность. В результате любой сайт, который помещал пользователь, мог взаимодействовать с упомянутым веб-сервером. Это позволяло осуществлять видеовызовы, подключаться к чужим звонкам и даже скрыто обновлять или переустанавливать само приложение (без каких-либо подтверждений со стороны жертвы). Также веб-сервер мог использоваться для DoS-атак, для чего было достаточно простых пингов.
Но вернемся к сбору данных для Facebook. Журналисты пишут, что подобные передачи данных вовсе не редкость, особенно для Facebook. Дело в том, что множество разработчиков используют SDK Facebook как средство более легкого внедрения функций в свои продукты, что также позволяет отправлять информацию социальной сети.
Так после загрузки и открытия приложения Zoom подключалось к Graph API Facebook, а это основной способ, с помощью которого разработчики обмениваются данными с Facebook. В итоге Zoom уведомляло Facebook, когда пользователь открывает приложение и передавало сведения об устройстве пользователя (модель устройства, часовой пояс и город, данные об операторе, уникальный рекламный идентификатор, связанный с устройством пользователя, который компании могут использовать для показа таргетированной рекламы).
По словам издания, пользователи Zoom могли не знать о том, что подобное вообще происходит, и им будет трудно понять, почему, когда они используют один продукт, их данные передаются совершенно другому сервису. Политика конфиденциальности Zoom гласит, что компания может собирать «информацию профиля пользователя в Facebook (когда вы используете Facebook для входа в наши продукты или для создания учетной записи для наших продуктов)», но в документе не упоминает об отправке данных в Facebook в том случае, если у человека вообще нет такой учетной записи.
«Это шокирует. В политике конфиденциальности [Zoom] ни о чем таком не говорится», — пишет активист Privacy Matters Пэт Уолш.
Вскоре после этой публикации разработчики Zoom отреагировали на происходящее и сообщили, что произошла ошибка.
«Zoom очень серьезно относится к конфиденциальности своих пользователей. Изначально мы реализовали функцию “Войти через Facebook” с помощью Facebook SDK, чтобы предоставить нашим пользователям еще один удобный способ доступа к нашей платформе. Однако недавно мы узнали, что Facebook SDK собирает ненужные данные об устройстве», — рассказали изданию представители компании.
В итоге разработчики извинились и заверили, что отказываются от использования Facebook SDK и исключают его из приложения, хотя возможность входа через Facebook у пользователей сохранится. Пользователей призвали обновить приложение, чтобы избавиться от слежки.
Однако в начале этой недели стало известно, что удаление шпионского SDK не уберегло компанию от юридических последствий. Так, Bloomberg пишет, что пользователь подал коллективный иск против компании за передачу данных в Facebook. В иске утверждается, что Zoom нарушила калифорнийский закон о защите данных, не получив должного согласия от пользователей на передачу данных.
«По всей видимости, Zoom не предприняла никаких действий, чтобы заблокировать работу предыдущих версий приложения Zoom. Таким образом, если пользователи не обновят приложение Zoom, они, скорее всего, будут продолжать неосознанно передавать неавторизованную личную информацию в Facebook и, возможно, в другим третьим сторонам. <…> Zoom могла бы вынудить всех пользователей iOS обновиться до новой версии приложения, но, похоже, решила не делать этого», — говорится в иске.