LinkedIn代码
LinkedIn移动程序
6月7日消息,据《纽约时报》报道,LinkedIn密码泄露主要是因为移动程序中的日历条目存在漏洞,它包括会议地址、参与者、接入信息、密码、敏感会议记录等,这些信息会在用户不知情的前提下,被传回LinkedIn服务器。
以色列特拉维夫大学(Tel Aviv University)的两位移动安全专家对此进行了分析。专家阿米特(Yair Amit)和沙拉巴尼(Adi Sharabani)发现,苹果iOS平台LinkedIn移动程序中有一个可选择功能,它允许用户在程序内查看iOS日历条目。一旦用户选用此功能,LinkedIn自动将日历条目传到服务器。LinkedIn收集iOS设备上的每一个日历条目,它可能包括个人信息、企业日历条目。
收集行为没有与用户沟通,它可能违反了苹果的政策,苹果禁止任何程序在未经许可下传输用户数据。今年初,移动社交网Path在用户不知情的情况下,将用户地址本传回服务器,为此苹果才立下规定。Path后来表示已经停止此行为,并毁掉了收集的数据。
App开发商可能是想利用数据,快速扩大用户量。不过在LinkedIn程序中,两位专家表示,LinkedIn为何要传输和存储日历条目、会议记录到服务器中?实在没有什么合理的理由。
沙拉巴尼说:“在一些情况下,收集用户敏感数据可能是正确的。但没有明确提示就收集,这绝对不正确。如果最初敏感信息就不需要,那就更大错特错了。这正是LinkedIn不对的地方。”
LinkedIn新闻发言人Julie Inouye说:“公司的日历同步功能明显是一个可选功能,只有在LinkedIn程序打开时才能同步,用户可以在任何时候关闭功能。”在iPhone、iPad上,用户进入设置,然后回到LinkedIn,关闭日历选项即可。该新闻发言人还说:“我们将会议数据与LinkedIn个人信息匹配,主要与谁和你开会有关,这样一来可以得到更多关于此人的信息。”
从回应来看,LinkedIn没有解释为何要将日历信息传回服务器。
两位专家在邮件中说:“为了执行该功能,将一起开会的人与其LinkedIn主页同步,LinkedIn需要的只是一起开会之人的独立身份,而不是会议安排的所有细节。”
专家阿米特(Yair Amit)和沙拉巴尼(Adi Sharabani)还说,他们已经与LinkedIn隐私运营团队有过接洽,谈及此问题,但直到周四还没有修复。