ITBear旗下自媒体矩阵:

LinkedIn密码泄露解读:移动程序传输日历信息

   时间:2012-06-07 08:57:47 来源:搜狐IT编辑:星辉 发表评论无障碍通道

LinkedIn代码

LinkedIn代码LinkedIn移动程序

LinkedIn移动程序

6月7日消息,据《纽约时报》报道,LinkedIn密码泄露主要是因为移动程序中的日历条目存在漏洞,它包括会议地址、参与者、接入信息、密码、敏感会议记录等,这些信息会在用户不知情的前提下,被传回LinkedIn服务器。

以色列特拉维夫大学(Tel Aviv University)的两位移动安全专家对此进行了分析。专家阿米特(Yair Amit)和沙拉巴尼(Adi Sharabani)发现,苹果iOS平台LinkedIn移动程序中有一个可选择功能,它允许用户在程序内查看iOS日历条目。一旦用户选用此功能,LinkedIn自动将日历条目传到服务器。LinkedIn收集iOS设备上的每一个日历条目,它可能包括个人信息、企业日历条目。

收集行为没有与用户沟通,它可能违反了苹果的政策,苹果禁止任何程序在未经许可下传输用户数据。今年初,移动社交网Path在用户不知情的情况下,将用户地址本传回服务器,为此苹果才立下规定。Path后来表示已经停止此行为,并毁掉了收集的数据。

App开发商可能是想利用数据,快速扩大用户量。不过在LinkedIn程序中,两位专家表示,LinkedIn为何要传输和存储日历条目、会议记录到服务器中?实在没有什么合理的理由。

沙拉巴尼说:“在一些情况下,收集用户敏感数据可能是正确的。但没有明确提示就收集,这绝对不正确。如果最初敏感信息就不需要,那就更大错特错了。这正是LinkedIn不对的地方。”

LinkedIn新闻发言人Julie Inouye说:“公司的日历同步功能明显是一个可选功能,只有在LinkedIn程序打开时才能同步,用户可以在任何时候关闭功能。”在iPhone、iPad上,用户进入设置,然后回到LinkedIn,关闭日历选项即可。该新闻发言人还说:“我们将会议数据与LinkedIn个人信息匹配,主要与谁和你开会有关,这样一来可以得到更多关于此人的信息。”

从回应来看,LinkedIn没有解释为何要将日历信息传回服务器。

两位专家在邮件中说:“为了执行该功能,将一起开会的人与其LinkedIn主页同步,LinkedIn需要的只是一起开会之人的独立身份,而不是会议安排的所有细节。”

专家阿米特(Yair Amit)和沙拉巴尼(Adi Sharabani)还说,他们已经与LinkedIn隐私运营团队有过接洽,谈及此问题,但直到周四还没有修复。

举报 0 收藏 0 打赏 0评论 0
 
 
更多>同类资讯
全站最新
热门内容
网站首页  |  关于我们  |  联系方式  |  版权声明  |  网站留言  |  RSS订阅  |  违规举报  |  开放转载  |  滚动资讯  |  English Version
关闭
ITBear微信账号

微信扫一扫
加微信拉群
电动汽车群
科技数码群