Das Technik-Magazin Motherboard berichtet in dieser Woche von schwerwiegenden Sicherheitsproblemen in der Videokonferenz-App Zoom. Wie eine Untersuchung des Quellcodes zeigte, verbindet sich die iOS-App sofort nach dem Start mit Facebooks Graph API und übermittelt ungefragt Daten an die Server des Unternehmens. Das geschieht auch, wenn der Zoom-Nutzer gar keinen Facebook-Account hat.
Zoom sendet Facebook unter anderem Details zum verwendeten Mobilgerät, zur Zeitzone, dem Standort, dem Mobilfunkanbieter sowie die gerätespezifische Werbe-ID, mit der individualisierte Anzeigen ausgeliefert werden können. Mit einer Erklärung für die Datensammelwut hält sich Zoom in seiner Datenschutzerklärung zurück. Dort findet sich lediglich eine Passage, in der das Unternehmen darauf hinweist, dass bei der Nutzung Facebook-Profilinformationen übermittelt werden können. Dass der Dienst auch Daten von Nutzern sendet, die gar kein Facebook-Profil haben, das wird in den Richtlinien nicht erwähnt.
Bei der Nutzung von Zoom direkt über die Website des Dienstes sieht es mit der Datenübermittlung nicht viel besser aus. Bei einem Test durch den Sicherheitsforscher Mike Kuketz stellte sich heraus, dass die zur Registrierung verwendete E-Mail-Adresse sofort an Trackingdienste übermittelt wurde. Die Electronic Frontier Foundation ( EFF) kritisiert außerdem, dass Administratoren ihre Mitarbeiter bei der Nutzung von Zoom bespitzeln können. Sie sehen unter anderem, wann das Videokonferenz-Fenster in den Hintergrund geklickt wurde. Auch detaillierte Geräte-Informationen werden ihnen von der Software übermittelt. Zoom hat zu den Testergebnissen von Motherboard bislang keine Stellungnahme abgegeben.