Publié dans Internet

9

Données émises : Zoom s’excuse et supprime le SDK Facebook de son client iOS

Données émises : Zoom s’excuse et supprime le SDK Facebook de son client iOS

L’application de vidéoconférence, particulièrement populaire depuis le début de la pandémie et le renforcement du travail à domicile, était épinglée la semaine dernière par Motherboard.

Nos confrères avaient découvert que le SDK de Facebook intégré dans la mouture iOS avait la fâcheuse habitude d’envoyer des données, pratique dont l’utilisateur n’était pas averti.

Divers identifiants d’application, de nombreuses informations techniques sur le modèle d’iPhone ou iPad utilisé (constructeur, nombre de cœurs dans le SoC, espace libre restant…), la langue, le fuseau horaire, la version d’iOS ou encore l’adresse IP étaient ainsi envoyés.

Averti, l’éditeur a rapidement réagi. Dans un billet de blog publié vendredi, la société indique ne pas avoir été au courant de ces émissions de données qui partaient directement chez Facebook. En conséquence, le SDK du réseau social est supprimé dans la dernière mise à jour.

Elle ajoute que le kit de développement n’avait été implanté dans son client iOS que pour faciliter la connexion au service, en offrant un intermédiaire particulièrement courant.

Zoom remercie au passage Motherboard et joue franc-jeu sur les informations. La seule réaction à peu près efficace finalement quand ce genre de révélation se répand comme une trainée de poudre : transparence et réaction rapide. Reste que la réputation de l’application est abimée.

Zoom a modifié dans la foulée ses conditions d’utilisation et la partie dédiée aux pratiques de vie privée. L’éditeur insiste sur plusieurs points : pas de revente des données, aucune surveillance des conférences en cours et application des régulations en vigueur sur la vie privée, dont le RGPD et son équivalent californien.

9

Tiens, en parlant de ça :

dessin satirique de Flock

#Flock : de Game of Shithrones au jeu des sept différences

Moi en retard ??? Non… (Ha si…)

13:37 Flock 11
Des chercheurs en noir et blanc regardent une fiole sur laquelle est écrit "Perlimpimpin" en jaune.

[Édito] Respectez les sciences, bordel !

Demi mole

17:07 NextScience 39
Vitrée brisée

Une faille critique dans le langage Rust, Windows trinque

De la rouille, des fenêtres, une rustine

17:02 SoftSécu 28
next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

9

Fermer

Commentaires (9)


Reste son installation sur Mac qui est assez dégueulasse :

https://www.macg.co/logiciels/2020/03/le-client-macos-de-zoom-ne-respecte-toujou…



Après mais ce n’est pas totalement lié à eux, il y a pas mal d’attaques sur les conférences Zoom :

https://www.bleepingcomputer.com/news/security/fbi-warns-of-ongoing-zoom-bombing…



Il faut OBLIGATOIREMENT avoir le client “à jour” !


Je n’arrive pas à savoir si Zoom avait une idée de ce qu’il se passait ou non.

Mais en tant que développeur, c’est quand même inquiétant si tu ne peux pas faire “du tout” confiance à un sdk fourni par une grosse boite.

Tu penses intégrer juste un truc de login et le sdk aspire toutes les données de l’utilisateur.


Ce n’est pas la première fois que Zoom se fait épinglé. Du coup je regarde de plus du côté de Jitsi Meet


Zoom dont les téléchargements ont explosé de 1270% en un mois…


Sans compter qu’on peut installer le tout chez soit ou sur une infra perso sans soucis.



Dans mon essais ça marche pas mal jitsi meet et on est totalement indépendant.








user_6677 a écrit :



Ce n’est pas la première fois que Zoom se fait épinglé. Du coup je regarde de plus du côté de Jitsi Meet





J’en ai installé un sur un VPS SSD 1 d’OVH pour le boulot. Installation de base facile; plus compliqué pour mettre en place un mot de passe pour éviter que le monde entier vienne squatter. Ça tient sans problème une vingtaine de conversations en audio, et 4* moins en vidéo, le facteur limitant étant le CPU (1 cœur virtuel à 2GHz).



Pour le coup les sdk, en dehors de pack libres entretenus par la communauté, c’est (trop) souvent un nid à merde… :/


Ce SDK envoie des data, même si on (le dev) n’en veut pas … Et ça se fout de base avec l’authentification by facebook …


Confiance…. Facebook….



<img data-src=" />