6月7日消息，據(jù)《紐約時(shí)報(bào)》報(bào)道，LinkedIn密碼泄露主要是因?yàn)橐苿?dòng)程序中的日歷條目存在漏洞，它包括會(huì)議地址、參與者、接入信息、密碼、敏感會(huì)議記錄等，這些信息會(huì)在用戶不知情的前提下，被傳回LinkedIn服務(wù)器。

　　以色列特拉維夫大學(xué)(Tel Aviv University)的兩位移動(dòng)安全專(zhuān)家對(duì)此進(jìn)行了分析。專(zhuān)家阿米特(Yair Amit)和沙拉巴尼(Adi Sharabani)發(fā)現(xiàn)，蘋(píng)果iOS平臺(tái)LinkedIn移動(dòng)程序中有一個(gè)可選擇功能，它允許用戶在程序內(nèi)查看iOS日歷條目。一旦用戶選用此功能，LinkedIn自動(dòng)將日歷條目傳到服務(wù)器。LinkedIn收集iOS設(shè)備上的每一個(gè)日歷條目，它可能包括個(gè)人信息、企業(yè)日歷條目。

　　收集行為沒(méi)有與用戶溝通，它可能違反了蘋(píng)果的政策，蘋(píng)果禁止任何程序在未經(jīng)許可下傳輸用戶數(shù)據(jù)。今年初，移動(dòng)社交網(wǎng)Path在用戶不知情的情況下，將用戶地址本傳回服務(wù)器，為此蘋(píng)果才立下規(guī)定。Path后來(lái)表示已經(jīng)停止此行為，并毀掉了收集的數(shù)據(jù)。

　　App開(kāi)發(fā)商可能是想利用數(shù)據(jù)，快速擴(kuò)大用戶量。不過(guò)在LinkedIn程序中，兩位專(zhuān)家表示，LinkedIn為何要傳輸和存儲(chǔ)日歷條目、會(huì)議記錄到服務(wù)器中?實(shí)在沒(méi)有什么合理的理由。

　　沙拉巴尼說(shuō)：“在一些情況下，收集用戶敏感數(shù)據(jù)可能是正確的。但沒(méi)有明確提示就收集，這絕對(duì)不正確。如果最初敏感信息就不需要，那就更大錯(cuò)特錯(cuò)了。這正是LinkedIn不對(duì)的地方。”

　　LinkedIn新聞發(fā)言人Julie Inouye說(shuō)：“公司的日歷同步功能明顯是一個(gè)可選功能，只有在LinkedIn程序打開(kāi)時(shí)才能同步，用戶可以在任何時(shí)候關(guān)閉功能。”在iPhone、iPad上，用戶進(jìn)入設(shè)置，然后回到LinkedIn，關(guān)閉日歷選項(xiàng)即可。該新聞發(fā)言人還說(shuō)：“我們將會(huì)議數(shù)據(jù)與LinkedIn個(gè)人信息匹配，主要與誰(shuí)和你開(kāi)會(huì)有關(guān)，這樣一來(lái)可以得到更多關(guān)于此人的信息。”

　　從回應(yīng)來(lái)看，LinkedIn沒(méi)有解釋為何要將日歷信息傳回服務(wù)器。

　　兩位專(zhuān)家在郵件中說(shuō)：“為了執(zhí)行該功能，將一起開(kāi)會(huì)的人與其LinkedIn主頁(yè)同步，LinkedIn需要的只是一起開(kāi)會(huì)之人的獨(dú)立身份，而不是會(huì)議安排的所有細(xì)節(jié)。”

　　專(zhuān)家阿米特(Yair Amit)和沙拉巴尼(Adi Sharabani)還說(shuō)，他們已經(jīng)與LinkedIn隱私運(yùn)營(yíng)團(tuán)隊(duì)有過(guò)接洽，談及此問(wèn)題，但直到周四還沒(méi)有修復(fù)。

　　推薦閱讀

　　消息稱(chēng)LinkedIn約650萬(wàn)用戶密碼泄露

北京時(shí)間6月6日消息，據(jù)挪威科技信息網(wǎng)站Dagens IT報(bào)道，商務(wù)社交網(wǎng)站LinkedIn遭受黑客攻擊，目前已經(jīng)造成650萬(wàn)用戶的密碼泄露，這些密碼都被公布在俄羅斯一家黑客網(wǎng)站上。LinkedIn隨后表示，正在調(diào)查泄露事件。 信息>>>詳細(xì)閱讀

本文標(biāo)題：LinkedIn密碼泄露解讀：移動(dòng)程序傳輸日歷信息

地址：http://www.sdlzkt.com/a/11/20120610/66569.html

 1/2    1  2 下一頁(yè)