显然,Zoom仍然不理解GDPR

2020-08-28 09:28:50

普通用户理所当然地认为,网站知道你以前什么时候访问过,你是否登录过,甚至你上次购物时购物篮里都有什么。在大多数情况下,这种神奇的定制都可以通过使用Cookie来实现。Cookie是网站为了识别用户而存储在设备上的一小段信息,这使得网站可以定制它们提供给每个人的内容。

虽然Cookie提供的一些功能可以帮助提高网站的安全性和可访问性,但公司能够通过Internet跟踪您的隐私问题由来已久。许多问题都与跟踪和广告cookie的使用有关,以及公司如何使用和滥用这些数据来操纵客户。自从ePrivacy Directive和GDPR推出以来,Cookie在有关在线隐私的讨论中受到了极大的关注。

上个月,ThreatSpike EDR检测到广泛使用的Zoom Windows客户端在卸载过程中访问Google Chrome cookie文件。

这被标记为可疑行为,我们决定弄清为什么会发生这种访问,以及是否存在任何恶意。

当用户连接到网站Zoom.us并接受Cookie选项时,首先编写缩放Cookie。当用户登录网站时,会添加一些额外的cookie。

这种行为通常是意料之中的。当用户试图从Windows机器上卸载Zoom客户端时,会发生令人惊讶的事情。可以看到文件install.exe正在访问用户的Chrome Cookies文件,并读取该文件中不包含缩放相关信息的部分。

我们决定仔细查看卸载过程中执行的读取操作。我们想要回答的问题是:Zoom是否有意和选择性地访问其他网站的cookie?

对包含不同数量的cookie并且属于不同网站的文件重复上述过程。访问无关网站(如哈克尼委员会、一家意大利超市和一个著名的流行歌星粉丝页面)的原因是,Zoom不太可能想要选择性地存储这些cookie中包含的信息。从我们的测试中,我们发现访问Cookie文件的模式与以非选择性方式读取Cookie的模式相同。因此,我们得出结论,上图中观察到的行为可以归因于查找Zoom cookie的二叉树搜索,而不是Zoom访问(并可能窃取)其他cookie。

然而,通过比较卸载桌面应用程序前后的cookie文件,观察到卸载过程中一个异常而有趣的方面。可以看到installer.exe进程正在编写以下新Cookie。

关闭浏览器时,没有到期日期的Cookie(也称为会话Cookie)将从Cookie历史记录中删除。另一方面,NPS_0487a3ac_throttle、NPS_0487a3ac_last_see、_zm_kms和_zm_everlogin_type确实有到期日期。特别是,后者的期限设定为10年。

基于此cookie的名称“everlogin”,假设它存储了有关用户是否曾经登录到Zoom的信息。至少可以说,在卸载应用程序时(即,当用户决定不再使用它时),进程将存储此信息这一事实是值得怀疑的。将此信息保留10年显然不符合电子隐私指令:

所有持久化Cookie的代码中都写入了到期日期,但其持续时间可能会有所不同。根据电子隐私指令,它们不应该超过12个月,但实际上,如果你不采取行动,它们可能会在你的设备上停留更长时间。

跟踪用户在互联网上的活动本身并不坏。然而,普通用户不会深入挖掘他们经常看到的“接受所有Cookie”按钮的含义。因此,公司有责任尊重电子隐私指令和GDPR等立法的建议,确保每个人在互联网上都有公平的体验。

像这样的发现让你质疑广泛使用的在线服务在保护用户数据和隐私方面的完整性。