LinkedIn, il social network che si propone come strumento per intrecciare rapporti lavorativi e sviluppare contatti professionali, è di nuovo nella bufera. Numerosi ricercatori hanno infatti puntato il dito contro LinkedIn Intro, applicazione sviluppata per i possessori di dispositivi mobili e compatibile con Apple iOS.
LinkedIn Intro si integra con il client di posta Apple ed espone le informazioni sugli utenti attingendo direttamente ai dati pubblicati sui profili del social network. L’idea è quella di rendere i collegamenti fra professionisti, tra chi offre e chi cerca lavoro, ancora più efficaci. Mentre si conversa, via e-mail, con altre persone registrate su LinkedIn, si possono così verificare – direttamente dal client di posta Apple – le competenze, le precedenti esperienze lavorative, le informazioni personali.
Il problema è che LinkedIn Intro sarebbe un’applicazione intrinsecamente insicura. “È il sogno di tutti gli aggressori“, ha commentato Richard Bejtlich, ricercatore presso Mandiant. “Non credo che le persone che hanno iniziato ad usare Intro siano pienamente consapevoli delle implicazioni che porta con sé l’autorizzare LinkedIn a visionare e modificare ciascuna mail“.
LinkedIn Intro riconfigura il dispositivo mobile (iPhone ed iPad) in modo tale che tutte le e-mail transitino attraverso i server della società statunitense. “Sì, avete proprio letto bene“, scrive Bishop Fox sul suo blog. “Siamo dinanzi ad una specie di attacco man-in-the-middle“, continua. In effetti, una volta installato LinkedIn Intro su un device Apple iOS, tutti i dati trasmessi ai server SMTP ed IMAP precedentemente configurati vengono invece dirottati verso i server amministrati dal social network.
Graham Cluley rincara la dose aggiungendo che l’applicazione di LinkedIn è capace di “spiare” l’elenco degli appuntamenti, note confidenziali, numeri di telefono ed altre
informazioni sensibili che vengono trasmesse, tra l’altro, in chiaro – senza utilizzare alcuna forma di crittografia -.
Di recente LinkedIn era stata accusata di sottrrarre indirizzi di posta elettronica dalle rubriche degli utenti per inviare messaggi con finalità promozionali (LinkedIn accusata di rastrellare e-mail per finalità di marketing).