聚焦源代码安全,网罗国内外最新资讯!
就在全球新冠肺炎疫情带火了视频会议应用 Zoom 之际,web 老兵拉响了关于 Zoom 和基于跟踪的广告商之间“令人毛骨悚然的亲密”关系警报。
上世纪具有重大影响力的《破茧而出 (The Cluetrain Manifesto)》互联网市场营销一书的合著者 Doc Searls 警告称,Zoom 不仅有权提取用户及其会议数据,还能够和谷歌及其它广告网络合作将这些个人信息融合到能够追踪用户web轨迹的精准广告中。
这种个人信息包括但不仅限于姓名、地址和任何其它可识别数据、职位及所在公司、Facebook 资料和设备详情。关键是,它还包括“用户在使用该服务时共享的包含在云记录和即时通讯、文件、白板中的内容”。
Searls 看到关于 Zoom 如何收集并和广告商、营销人员和其它企业共享用户数据的报告后,决定通过 Zoom 的隐私策略查看它如何处理通话、信息和脚本。他的结论是,“Zoom 参与广告业务,并且处于最糟糕的位置:通过收割个人数据敛财”。
他指出,“更让人毛骨悚然的是,Zoom 能够收集大量个人信息,其中一些隐私性非常强(如精神病学家和病人的谈话),而对话当事人对此一无所知。(当然,除非他们从某处看到了一则像是通过 Zoom 的私人会话所得知的广告。)”
截止3月18日,该隐私策略列出了很多种不同类型的个人信息,从通讯录详情到会议内容等等不一而足,而且它还表示可能会以各种方式使用这类信息来推出针对个人兴趣的定制化web 广告。
Zoom 隐私策略指出,“Zoom 确实使用某些要求提供个人数据的标准广告工具。我们使用这些工具来改进您的广告体验(如代表我们在互联网发送广告、在我们的网站上发送定制化广告并提供分析服务)。例如,谷歌可能利用该数据为使用其服务的所有企业改进广告服务。”
Searls(前哈佛贝克曼学者)指出,网民可能并未意识到自己的个人信息通过 Zoom 账户和视频会议用于广告且在 web 遭追踪,“个人信息被共享的用户并不了解正在发生的事情,因为 zoom 对此只字未提。没有人选择 Zoom 是为了‘广告体验’,不管是否为定制化广告。没有人愿意看到自己的信息被 Zoom 泄露,进而被第三方发布到互联网上。”
Searls 指出,“Zoom 无需参与广告业务,至少其中一部分业务就像吸血鬼一样寄生在人类数据的血液中”。他表示,“如果 Zoom 需要更多的资金,应当对服务做出更多的更改或者发布更少的免费服务。Zoom 当前的隐私策略要比‘你没有任何隐私’更糟糕,无异于‘我们将你的虚拟脖子交给数据吸血鬼任由处置’。Zoom,请修复这个问题。对于 Zoom 的竞争对手而言,这是一个大可被利用的弱点。”
媒体 Vice 指出,即使用户不使用 Facebook, Zoom 的 iOS 应用也会向 Facebook 发送分析数据,原因是 Zoom 使用了 Facebook 的 Graph API。Zoom 隐私策略指出,当使用 Facebook 账户登录时间收集用户的资料信息,但它并未说明用户不使用 Facebook 的情况。之后,Zoom 修改其代码,将这种情况考虑进去,不再发送非 Facebook 用户的分析数据。
因此,不要公开分享你的 Zoom 回应ID 和密码,因为恶意人员将发现、劫持并通过垃圾信息轰炸这些信息。同时不要忘记设置强密码。Check Point 发现了多个弱点,如易于猜测或暴力破解会议 ID。这些都是 Zoom 会议安全的提升之处。
Zoom 的隐私策略声明称,“我们禁止市场营销公司、广告商或其他任何人访问个人数据获利……以我们谦卑的观点来看,我们认为多数用户并不认为我们在出售他们的信息,因为这种做法众所周知。”
此外,Zoom 股价上涨7%,比上个月上涨26%。
完整博客文章见:
https://blogs.harvard.edu/doc/2020/03/27/zoom/
https://www.theregister.co.uk/2020/03/27/doc_searls_zoom_privacy/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
