LinkedIn-App sammelt heimlich Nutzerdaten

Zwei Sicherheitsforscher haben aufgedeckt, dass die iOS-App von LinkedIn Kalenderdaten einschließlich aller Einträge mit möglicherweise vertraulichen Details an die Server des Unternehmens überträgt. Yair Amit und Adi Sharabani werfen dem Business-Netzwerk vor, seine Nutzer darüber nicht informiert zu haben. Darüber hinaus sei die Übertragung all dieser Daten für die vorgegebene Funktionalität der App gar nicht erforderlich.

„Die Kalendersynchronisationsfunktion ist klar eine ‚Opt-in‘-Erfahrung“, erklärte LinkedIn-Sprecherin Julie Inouye gegenüber der New York Times. Ein Datenabgleich finde nur statt, wenn die Anwendung geöffnet sei. „Wir benutzen Informationen von den Meeting-Daten, um LinkedIn-Profildaten über diejenigen abzugleichen, die Sie treffen, damit Sie mehr Informationen über sie erhalten.“

Für diesen Zweck benötige LinkedIn tatsächlich nur eine eindeutige Kennung, halten die Sicherheitsexperten dagegen, und nicht alle Details über geplante Begegnungen. Stattdessen sende die App bei jedem Start automatisch alle Kalendereintrage über einen Zeitraum von fünf Tagen: „Die Meeting-Informationen werden von allen Kalendern auf dem iOS-Gerät gesammelt und geben damit möglicherweise Informationen sowohl von persönlichen als auch von geschäftlichen Kalenderkonten preis.“

Zu den übermittelten Kalenderdaten gehören demnach Überschrift, Organisator, Teilnehmer, Ort, Zeit und die damit verbundenen Notizen. Dabei sollen auch die Namen und E-Mail-Adressen von Personen gesammelt werden, die nicht über ein LinkedIn-Konto verfügen. Als Beleg dafür führen Amit und Sharabani die Ergebnisse einer Traffic-Analyse an. Enthalten die Notizen zu Meetings Passwörter oder Finanzdaten, werden auch diese übertragen.

Sie unterstellen dem Netzwerk nicht, die Daten in bösartiger Weise genutzt zu haben: „Wir sind jedoch besorgt über die Tatsache, dass es heikle Informationen über seine Nutzer sammelt und nach draußen sendet, ohne ihnen das klar anzuzeigen und ihre Zustimmung einzuholen.“ Damit könnte LinkedIn außerdem gegen Apples Richtlinien zur Privatsphäre verstoßen. Diese schreiben Entwicklern vor, dass ihre Apps nur Daten übermitteln dürfen, wenn sie zuvor die Zustimmung des Nutzers eingeholt haben und ihm Informationen darüber zugänglich machen, wie und wofür die Daten verwendet werden.

Im Februar war bekannt geworden, dass die Social-Networking-Anwendung Path die vollständigen Adressbücher der Nutzer auf die Firmenserver übertrug und dort speicherte. Wenig später stellte sich heraus, dass das ungefragte Sammeln und Speichern von Kontaktdaten nicht nur bei Path gängige Praxis war. Auch die iOS-Apps von Facebook, Twitter, Instagram, Foursquare, Foodspotting, Yelp und Gowalla verhielten sich ähnlich – und nicht alle holten dafür eine Erlaubnis ein. Apple kündigte daraufhin an, das heimliche Auslesen von Kontaktdaten mit einem iOS-Update verhindern zu wollen.

LinkedIn hat inzwischen auf die Kritik reagiert und den Zweck der Datenübertragung näher erklärt. „Es ist ein großartiges Feature“, sagte Joff Redfern, bei LinkedIn für mobile Produkte verantwortlich. Er versprach jedoch, dass das Netzwerk künftig auf die Übertragung von Notizen zu einzelnen Kalenderterminen verzichten und in der App auf Informationen zur Datennutzung verweisen werde. Diese Updates seien in der Android-App bereits erfolgt und in Apples App Store zur baldigen Veröffentlichung eingereicht.

[mit Material von Steven Musil, News.com]

Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.