„Ein Traum für Geheimdienste“ – LinkedIn öffnet mit „Intro“ die Pforten für Hacker
Nun kritisieren immer mehr Sicherheitsexperten die zugrunde liegende Technik in teils deutlichen Worten. LinkedIns neue Mobile App sei „ein wahr gewordener Traum für Hacker und Geheimdienste“. Das Sicherheits-Beratungsunternnehmen Bishop Fox zählt Gründe auf, warum LinkedIn Intro mehr als nur bedenklich ist. Zum Beispiel:
- Inhalte von Kommunikationen mit Arzt oder Anwalt, die über einen Dritten (hier eben LinkedIn) geführt werden, können gerichtlich verwendet werden.
- Wenn die NSA weiß, dass alle mobilen E-Mails über LinkedIn-Server laufen, wissen sie, wo Sie ihre nächste Geburtstagsparty feiern.
- Zertifikate und Verschlüsselungen dürften die Behandlung auf dem LinkedIn-Server nicht überleben.
- Intro installiert nicht nur eine App, sondern eine Security Policy auf dem Smartphone. Und die kann weit schlimmeres anstellen, als Mails umzuleiten.
Überrascht zeigte sich Richard Bejtlich von der Sicherheitsfirma Mandiant: „Ich bin völlig baff. Ich kann nicht glauben, dass irgendjemand das für eine gute Idee gehalten hat“.
Sicherheitsexperten weisen zudem darauf hin, dass ähnliche Technik 2011 von iranischen Hackern angewandt wurde, um die Googlemail-Accounts von vermeintlichen Dissidenten abzuhören. Edward Snowdens Enthüllungen zufolge hat sich auch die NSA ähnlicher Mittel zum Belauschen des Google-Traffics bedient.
LinkedIn-Stellungnahme: wenig beruhigend
Inzwischen hat LinkedIn den ursprünglichen Entwickler-Blogbeitrag mit der stolz präsentierten Funktionsweise von Intro ergänzt. In der Stellungnahme wird unter anderem klargestellt, dass es sich um eine „Opt-In“-Funktion handelt, die also aktiv vom Nutzer abgenickt werden muss. Und weiter: „Benutzernamen, Passwörter und E-Mails werden nirgends permanent gespeichert. Jegliche Kommunikation zwischen Smartphone und LinkedIn-Server ist verschlüsselt, ebenso wie die von LinkedIn zum Zielprovider“. Während der Einbringung des Absenderprofils bei LinkedIn ist die Kommunikation aber unverschlüsselt, also les- und auswertbar, wie CHIP Online bemerkt.
Auf die Frage, ob LinkedIn Informationen über seine Nutzer weitergeben würde, lautet die Antwort „Wir werden niemals irgendwelche privaten Daten über Sie oder Ihre Kontakte verkaufen, verleihen oder weitergeben“. Was als „private Daten“ klassifiziert ist und wer das bestimmt, bleibt aber unklar.
Die schlechte Sicherheitsbilanz von LinkedIn
LinkedIn hatte in der Vergangenheit nun schon mehrfach Negativ-Schlagzeilen in Sicherheitsfragen gemacht. Vor zwei Jahren hatte ein Sicherheitsexperte vor einer gefährlichen Datenschutzlücke gewarnt. Im Sommer 2012 gerieten Hacker an 6,5 Mio.
Benutzernamen und Passwörter und veröffentlichten sie auf einer russischen Webseite. Und vor rund einem Monat war LinkedIn das Ziel einer Sammelklage von Nutzern, die dem Unternehmen vorwarfen, in private E-Mail-Accounts eingebrochen zu sein, um dann Bekannten, Freunden und Verwandten der Besitzer Werbenachrichten zu schicken.
Posted in Sicherheit | Kommentare deaktiviert für „Ein Traum für Geheimdienste“ – LinkedIn öffnet mit „Intro“ die Pforten für Hacker