Gestern hatte ich euch zum Review meiner Video-Apps für Gruppen noch angekündigt, dass wir uns noch die Sicherheitsbedenken bei Zoom anschauen werden. Zu diesem Zeitpunkt hatte Zoom aber schon angekündigt, dass sie die Sache behoben haben. Worum ging es genau?
Wenn ihr die iOS-App von Zoom in der Vergangenheit genutzt habt, müsst ihr euch leider damit abfinden, dass Facebook nun einige Nutzungsdaten von euch hat – selbst wenn ihr nie Facebook-Nutzer gewesen seid. Das liegt daran, dass die iOS-App mithilfe eines Facebook SDK (Software Development Kit) erstellt wurde. Mit diesem SDK sollten sich iOS-Nutzer leicht über Facebook anmelden können. In der Datenschutzerklärung von Zoom fand dies keine Erwähnung, sodass zurecht ein kleiner Aufschrei durch die Tech-Welt ging. Entdeckt wurde dieser Umstand von Motherboard.
Laut Joseph Cox, der den Artikel für Vice geschrieben hat, teilte die App durchaus sensible Daten mit: Handymodel, Session-Daten, Zeitzone, den Ort (Ortsname), von dem ihr aus die App nutzt und verknüpft dies mit Advertizer-Identity-Tracking, sodass euch individuell passende Werbung aufgrund der gesammelten Daten zugesendet werden kann.
Inzwischen hat Zoom auf dem eigenen Blog auf die Anschuldigungen reagiert. Aus der Stellungnahme geht hervor, dass sich Zoom nicht bewusst war, dass das SDK diese Folgen für die Nutzer hatte, und erst am 25. März davon erfuhr. Das SDK wurde aus dem iOS-Client herausgenommen und dieser wurde nun umgeschrieben. So können sich Facebook-Nutzer immer noch über ihren Account bei Zoom anmelden. Die Datenweiterleitung findet aber nicht mehr statt. In dem Blog könnt ihr genau lesen, welche Daten geteilt wurden. Es ist gut möglich, dass dies nun dennoch rechtliche Konsequenzen für Zoom haben könnte, da die Private Policies die Nutzer nie über diese Funktion aufklärten.
Abseits dieses Security-Issues gibt es aber noch andere Sicherheitsbedenken. Heute habe ich erst über das Attention-Tracking geschrieben, gegen das ihr euch als Teilnehmer einer Sitzung nicht wehren könnt, wenn beispielsweise euer Chef eine Sitzung hostet. Administratoren haben offenbar aber noch einen viel weiterreichenden Zugriff auf eure Daten. Dieses 5 Jahre alte Youtube-Video von Zoom demonstriert, wie Admins darauf zugreifen können, wann, wie und wo User Zoom benutzen.