Zwei Sicherheitsforscher haben aufgedeckt, dass die iOS-App von LinkedIn Kalenderdaten einschließlich aller Einträge mit möglicherweise vertraulichen Details an die Server des Unternehmens überträgt. Yair Amit und Adi Sharabani werfen dem Business-Netzwerk vor, seine Nutzer darüber nicht informiert zu haben. Darüber hinaus sei die Übertragung all dieser Daten für die vorgegebene Funktionalität der App gar nicht erforderlich.

„Die Kalendersynchronisationsfunktion ist klar eine ‚Opt-in‘-Erfahrung“, erklärte LinkedIn-Sprecherin Julie Inouye gegenüber der New York Times. Ein Datenabgleich finde nur statt, wenn die Anwendung geöffnet sei. „Wir benutzen Informationen von den Meeting-Daten, um LinkedIn-Profildaten über diejenigen abzugleichen, die Sie treffen, damit Sie mehr Informationen über sie erhalten.“


Die LinkedIn-App für iOS überträgt auch vertrauliche Kalenderdetails (Bild: Skycure Security)

Für diesen Zweck benötige LinkedIn tatsächlich nur eine eindeutige Kennung, halten die Sicherheitsexperten dagegen, und nicht alle Details über geplante Begegnungen. Stattdessen sende die App bei jedem Start automatisch alle Kalendereintrage über einen Zeitraum von fünf Tagen: „Die Meeting-Informationen werden von allen Kalendern auf dem iOS-Gerät gesammelt und geben damit möglicherweise Informationen sowohl von persönlichen als auch von geschäftlichen Kalenderkonten preis.“

Zu den übermittelten Kalenderdaten gehören demnach Überschrift, Organisator, Teilnehmer, Ort, Zeit und die damit verbundenen Notizen. Dabei sollen auch die Namen und E-Mail-Adressen von Personen gesammelt werden, die nicht über ein LinkedIn-Konto verfügen. Als Beleg dafür führen Amit und Sharabani die Ergebnisse einer Traffic-Analyse an. Enthalten die Notizen zu Meetings Passwörter oder Finanzdaten, werden auch diese übertragen.

Sie unterstellen dem Netzwerk nicht, die Daten in bösartiger Weise genutzt zu haben: „Wir sind jedoch besorgt über die Tatsache, dass es heikle Informationen über seine Nutzer sammelt und nach draußen sendet, ohne ihnen das klar anzuzeigen und ihre Zustimmung einzuholen.“ Damit könnte LinkedIn außerdem gegen Apples Richtlinien zur Privatsphäre verstoßen. Diese schreiben Entwicklern vor, dass ihre Apps nur Daten übermitteln dürfen, wenn sie zuvor die Zustimmung des Nutzers eingeholt haben und ihm Informationen darüber zugänglich machen, wie und wofür die Daten verwendet werden.

Im Februar war bekannt geworden, dass die Social-Networking-Anwendung Path die vollständigen Adressbücher der Nutzer auf die Firmenserver übertrug und dort speicherte. Wenig später stellte sich heraus, dass das ungefragte Sammeln und Speichern von Kontaktdaten nicht nur bei Path gängige Praxis war. Auch die iOS-Apps von Facebook, Twitter, Instagram, Foursquare, Foodspotting, Yelp und Gowalla verhielten sich ähnlich – und nicht alle holten dafür eine Erlaubnis ein. Apple kündigte daraufhin an, das heimliche Auslesen von Kontaktdaten mit einem iOS-Update verhindern zu wollen.

LinkedIn hat inzwischen auf die Kritik reagiert und den Zweck der Datenübertragung näher erklärt. „Es ist ein großartiges Feature“, sagte Joff Redfern, bei LinkedIn für mobile Produkte verantwortlich. Er versprach jedoch, dass das Netzwerk künftig auf die Übertragung von Notizen zu einzelnen Kalenderterminen verzichten und in der App auf Informationen zur Datennutzung verweisen werde. Diese Updates seien in der Android-App bereits erfolgt und in Apples App Store zur baldigen Veröffentlichung eingereicht.

[mit Material von Steven Musil, News.com]

Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago