LinkedIn密碼泄露解讀：移動程序傳輸日歷信息

LinkedIn代碼

LinkedIn移動程序

6月7日消息，據(jù)《紐約時報》報道，LinkedIn密碼泄露主要是因為移動程序中的日歷條目存在漏洞，它包括會議地址、參與者、接入信息、密碼、敏感會議記錄等，這些信息會在用戶不知情的前提下，被傳回LinkedIn服務(wù)器。

以色列特拉維夫大學(xué)(Tel Aviv University)的兩位移動安全專家對此進(jìn)行了分析。專家阿米特(Yair Amit)和沙拉巴尼(Adi Sharabani)發(fā)現(xiàn)，蘋果iOS平臺LinkedIn移動程序中有一個可選擇功能，它允許用戶在程序內(nèi)查看iOS日歷條目。一旦用戶選用此功能，LinkedIn自動將日歷條目傳到服務(wù)器。LinkedIn收集iOS設(shè)備上的每一個日歷條目，它可能包括個人信息、企業(yè)日歷條目。

收集行為沒有與用戶溝通，它可能違反了蘋果的政策，蘋果禁止任何程序在未經(jīng)許可下傳輸用戶數(shù)據(jù)。今年初，移動社交網(wǎng)Path在用戶不知情的情況下，將用戶地址本傳回服務(wù)器，為此蘋果才立下規(guī)定。Path后來表示已經(jīng)停止此行為，并毀掉了收集的數(shù)據(jù)。

App開發(fā)商可能是想利用數(shù)據(jù)，快速擴(kuò)大用戶量。不過在LinkedIn程序中，兩位專家表示，LinkedIn為何要傳輸和存儲日歷條目、會議記錄到服務(wù)器中?實在沒有什么合理的理由。

沙拉巴尼說：“在一些情況下，收集用戶敏感數(shù)據(jù)可能是正確的。但沒有明確提示就收集，這絕對不正確。如果最初敏感信息就不需要，那就更大錯特錯了。這正是LinkedIn不對的地方。”

LinkedIn新聞發(fā)言人Julie Inouye說：“公司的日歷同步功能明顯是一個可選功能，只有在LinkedIn程序打開時才能同步，用戶可以在任何時候關(guān)閉功能。”在iPhone、iPad上，用戶進(jìn)入設(shè)置，然后回到LinkedIn，關(guān)閉日歷選項即可。該新聞發(fā)言人還說：“我們將會議數(shù)據(jù)與LinkedIn個人信息匹配，主要與誰和你開會有關(guān)，這樣一來可以得到更多關(guān)于此人的信息。”

從回應(yīng)來看，LinkedIn沒有解釋為何要將日歷信息傳回服務(wù)器。

兩位專家在郵件中說：“為了執(zhí)行該功能，將一起開會的人與其LinkedIn主頁同步，LinkedIn需要的只是一起開會之人的獨立身份，而不是會議安排的所有細(xì)節(jié)。”

專家阿米特(Yair Amit)和沙拉巴尼(Adi Sharabani)還說，他們已經(jīng)與LinkedIn隱私運營團(tuán)隊有過接洽，談及此問題，但直到周四還沒有修復(fù)。