6月7日消息,據《紐約時報》報道,LinkedIn密碼泄露主要是因為移動程序中的日歷條目存在漏洞,它包括會議地址、參與者、接入信息、密碼、敏感會議記錄等,這些信息會在用戶不知情的前提下,被傳回LinkedIn服務器。
以色列特拉維夫大學(Tel Aviv University)的兩位移動安全專家對此進行了分析。專家阿米特(Yair Amit)和沙拉巴尼(Adi Sharabani)發現,蘋果iOS平臺LinkedIn移動程序中有一個可選擇功能,它允許用戶在程序內查看iOS日歷條目。一旦用戶選用此功能,LinkedIn自動將日歷條目傳到服務器。LinkedIn收集iOS設備上的每一個日歷條目,它可能包括個人信息、企業日歷條目。
收集行為沒有與用戶溝通,它可能違反了蘋果的政策,蘋果禁止任何程序在未經許可下傳輸用戶數據。今年初,移動社交網Path在用戶不知情的情況下,將用戶地址本傳回服務器,為此蘋果才立下規定。Path后來表示已經停止此行為,并毀掉了收集的數據。
App開發商可能是想利用數據,快速擴大用戶量。不過在LinkedIn程序中,兩位專家表示,LinkedIn為何要傳輸和存儲日歷條目、會議記錄到服務器中?實在沒有什么合理的理由。
沙拉巴尼說:“在一些情況下,收集用戶敏感數據可能是正確的。但沒有明確提示就收集,這絕對不正確。如果最初敏感信息就不需要,那就更大錯特錯了。這正是LinkedIn不對的地方。”
LinkedIn新聞發言人Julie Inouye說:“公司的日歷同步功能明顯是一個可選功能,只有在LinkedIn程序打開時才能同步,用戶可以在任何時候關閉功能。”在iPhone、iPad上,用戶進入設置,然后回到LinkedIn,關閉日歷選項即可。該新聞發言人還說:“我們將會議數據與LinkedIn個人信息匹配,主要與誰和你開會有關,這樣一來可以得到更多關于此人的信息。”
從回應來看,LinkedIn沒有解釋為何要將日歷信息傳回服務器。
兩位專家在郵件中說:“為了執行該功能,將一起開會的人與其LinkedIn主頁同步,LinkedIn需要的只是一起開會之人的獨立身份,而不是會議安排的所有細節。”
專家阿米特(Yair Amit)和沙拉巴尼(Adi Sharabani)還說,他們已經與LinkedIn隱私運營團隊有過接洽,談及此問題,但直到周四還沒有修復。
推薦閱讀
北京時間6月6日消息,據挪威科技信息網站Dagens IT報道,商務社交網站LinkedIn遭受黑客攻擊,目前已經造成650萬用戶的密碼泄露,這些密碼都被公布在俄羅斯一家黑客網站上。LinkedIn隨后表示,正在調查泄露事件。 信息>>>詳細閱讀
本文標題:LinkedIn密碼泄露解讀:移動程序傳輸日歷信息
地址:http://www.sdlzkt.com/a/11/20120610/66569.html
網友點評
精彩導讀
科技快報
品牌展示