Zwei Sicherheitsforscher haben aufgedeckt, dass die iOS-App von LinkedIn Kalenderdaten einschließlich aller Einträge mit möglicherweise vertraulichen Details an die Server des Unternehmens überträgt. Yair Amit und Adi Sharabani werfen dem Online-Berufsnetzwerk vor, seine Nutzer darüber nicht informiert zu haben. Darüber hinaus sei die Übertragung all dieser Daten für die vorgegebene Funktionalität der App gar nicht erforderlich.
“Das Kalender-Synchronisations-Feature ist klar eine ‘Opt-in’-Erfahrung”, erklärte LinkedIn-Sprecherin Julie Inouye gegenüber der New York Times. Sie synchronisiere zudem nur, wenn die Anwendung geöffnet sei. “Wir benutzen Informationen von den Meeting-Daten, um LinkedIn-Profilinformationen abzugleichen über diejenigen, die Sie treffen, damit Sie mehr Informationen über sie erhalten.”
Für diesen Zweck benötige LinkedIn tatsächlich nur eine eindeutige Kennung, halten die Sicherheitsexperten dagegen, und nicht alle Details über geplante Begegnungen. Stattdessen sende die App bei jedem Start automatisch alle Kalendereintrage über einen Zeitraum von fünf Tagen: “Die Meeting-Informationen werden von allen Kalendern auf dem iOS-Gerät gesammelt und geben damit möglicherweise Informationen sowohl von persönlichen auch von geschäftlichen Kalenderkonten preis.”
Zu den übermittelten Kalenderdaten gehören demnach Überschrift, Organisator, Teilnehmer, Ort, Zeit und die damit verbundenen Notizen. Dabei sollen auch die Namen und E-Mail-Adressen von Personen gesammelt werden, die nicht über ein LinkedIn-Konto verfügen. Als Beleg dafür führen Amit und Sharabani die Ergebnisse einer Traffic-Analyse an. Enthalten die Notizen zu Meetings Passwörter oder Finanzdaten, werden auch diese übertragen.
Sie unterstellen dem Netzwerk nicht, die Daten in einer bösartigen Weise genutzt zu haben: “Wir sind jedoch besorgt über die Tatsache, dass es heikle Informationen über seine Nutzer sammelt und nach draußen sendet, ohne ihnen das klar anzuzeigen und ihre Zustimmung einzuholen.” Damit könnte LinkedIn außerdem gegen Apples Richtlinien zur Privatsphäre verstoßen. Sie schreiben Entwicklern vor, dass ihre Apps nur Daten übersenden dürfen, wenn sie zuvor die Zustimmung des Nutzers eingeholt haben und ihm Informationen darüber zugänglich machen, wie und wofür die Daten genutzt werden.
Im Februar war bekannt geworden, dass die Social-Networking-Anwendung Path die vollständigen Adressbücher der Nutzer auf die Firmenserver übertrug und dort speicherte. Wenig später stellte sich heraus, dass das ungefragte Sammeln und Speichern von Kontaktdaten nicht nur bei Path gängige Praxis war. Auch die iOS-Apps von Facebook, Twitter, Instagram, Foursquare, Foodspotting, Yelp und Gowalla verhielten sich ähnlich – und nicht alle holten dafür eine Erlaubnis ein. Apple kündigte daraufhin an, das heimliche Auslesen von Kontaktdaten mit einem iOS-Update verhindern zu wollen.
LinkedIn hat inzwischen auf die Kritik reagiert und den Zweck der Datenübertragung näher erklärt. “Es ist ein großartiges Feature”, beharrte dabei Joff Redfern, bei LinkedIn für mobile Produkte verantwortlich. Er sagte jedoch zu, das Netzwerk werde auf die Übertragung von Notizen zu einzelnen Kalenderterminen verzichten und in der App auf Informationen zur Datennutzung verweisen. Diese Updates seien in der Android-App bereits erfolgt und in Apples App Store zur baldigen Veröffentlichung eingereicht.
Hinweis: Lesen Sie Artikel von silicon.de ab sofort auch in Google Currents. Jetzt abonnieren.
"Das Grundprinzip der Zero Trust Architektur hat sich bis heute nicht geändert, ist aber relevanter…
Androxgh0st zielt auf Windows-, Mac- und Linux-Plattformen ab und breitet sich rasant aus. In Deutschland…
Mit autonomen Pentests aus der Cloud lassen sich eigene Schwachstelle identifizieren.
Die Drogeriekette Rossmann wird ihr neues Zentrallager in Ungarn mit Software von PSI steuern.
Automobilhersteller planen, Quantentechnologie zunehmend auch bei fortschrittlichen Fahrerassistenzsystemen (ADAS) einzusetzen.
Blue Yonder soll mehr Nachhaltigkeit entlang der Lieferkette der internationale Brauerei ermöglichen.
View Comments
Genialer Bericht und tragische Meldung - In einer Woche befinden sich Zugangsdaten von 6,5 Millionen LinkedIn-Nutzern auf einer anonymen Webseite und nun auch noch das. Bin gespannt wieviele Millionen Nutzer sich abmelden werden. Alexa.com hilft da bestimmt die nächsten Wochen weiter...