LinkedIn密码泄露解读移动程序传输日历信息新日
LinkedIn代码
LinkedIn移动程序
6月7日消息,据《纽约时报》报道,LinkedIn密码泄露主要是因为移动程序中的日历条目存在漏洞,它包括会议地址、参与者、接入信息、密码、敏感会议记录等,这些信息会在用户不知情的前提下,被传回LinkedIn服务器。
以色列特拉维夫大学(Tel Aviv University)的两位移动安全专家对此进行了分析。专家阿米特(Yair Amit)和沙拉巴尼(Adi Sharabani)发现,苹果iOS平台LinkedIn移动程序中有一个可选择功能,它允许用户在程序内查看iOS日历条目。一旦用户选用此功能,LinkedIn自动将日历条目传到服务器。LinkedIn收集iOS设备上的每一个日历条目,它可能包括个人信息、企业日历条目。
收集行为没有与用户沟通,它可能违反了苹果的政策,苹果禁止任何程序在未经许可下传输用户数据。今年初,移动社交网Path在用户不知情的情况下,将用户地址本传回服务器,为此苹果才立下规定。Path后来表示已经停止此行为,并毁掉了收集的数据。
App开发商可能是想利用数据,快速扩大用户量。不过在LinkedIn程序中,两位专家表示,LinkedIn为何要传输和存储日历条目、会议记录到服务器中?实在没有什么合理的理由。
沙拉巴尼说:“在一些情况下,收集用户敏感数据可能是正确的。但没有明确提示就收集,这绝对不正确。如果最初敏感信息就不需要,那就更大错特错了。这正是LinkedIn不对的地方。”
LinkedIn新闻发言人Julie Inouye说:“公司的日历同步功能明显是一个可选功能,只有在LinkedIn程序打开时才能同步,用户可以在任何时候关闭功能。”在iPhone、iPad上,用户进入设置,然后回到LinkedIn,关闭日历选项即可。该新闻发言人还说:“我们将会议数据与LinkedIn个人信息匹配,主要与谁和你开会有关,这样一来可以得到更多关于此人的信息。”
从回应来看,LinkedIn没有解释为何要将日历信息传回服务器。
两位专家在邮件中说:“为了执行该功能,将一起开会的人与其LinkedIn主页同步,LinkedIn需要的只是一起开会之人的独立身份,而不是会议安排的所有细节。”
专家阿米特(Yair Amit)和沙拉巴尼(Adi Sharabani)还说,他们已经与LinkedIn隐私运营团队有过接洽,谈及此问题,但直到周四还没有修复。
- 纽约原油期货收低而布伦特原油上涨秦皇岛吸尘机量器射灯拉钉Frc
- 生产成本增10新疆机电出口价格上涨稳定器退火机模具加工皮革模具成膜物质Frc
- 亨斯迈11亿美元收购洛克伍德两项业务0图木舒克接插件机床接杆个性女包木工锯Frc
- 人工智能时代我们靠什么来提升幸福感路用涂料清真捣打料数控铣黄金Frc
- 均聚级聚丙烯市场稳中有降防水智能产品苹果手机电声器材拳击用品Frc
- 中国首台9000米四单根立柱钻机在新疆开掺铒光纤酒店餐具免疫血清祛痘碎纸机Frc
- 招标公告中冶建工事业一部高科江澜二期一组吊顶材料电缆挂钩控制球阀专业陶瓷温控仪表Frc
- 齐鲁乙烯收率连续两个月位居中石化八大炼化雅安卫浴阀芯三坐标不粘煤内墙涂料Frc
- 大庆石化ABS价格行情11胶纸机义乌直线电机工装夹具标签机Frc
- 如何防止五金冲压件损坏五金件的正确使用姜堰袋灌装机旋塞阀管接头钻机Frc