Новый продукт Linkedin Intro: удобство или слежка за пользователями?

в 21:26, , рубрики: linkedin, security, безопасность, бесплатный сыр, информационная безопасность, паранойя, метки: , , , ,

Предыстория

Два дня назад в блоге Linkedin Engineering появилась запись «Linkedin Intro: Делаем невозможное на iOS»
Этот продукт еще не освещался на хабре, но если говорить в двух словах — Linkedin предлагает использовать специальный IMAP proxy-сервер, который модифицирует входящие на ваше iOS устройство письма, добавляя в них информацию об отправителе из его профиля на Linkedin.
Новый продукт Linkedin Intro: удобство или слежка за пользователями?

Сама технология в целом достаточно прозрачна, что видно из следующей схемы
Новый продукт Linkedin Intro: удобство или слежка за пользователями?

Думаю, любой думающий человек сразу почувствует в этом определенный подвох, который заставит его призадуматься, что же скрывается за гордыми сообщениями о том, что команда инженеров сделала «невозможное»

Чем же это грозит пользователям?

Юридическая сторона вопроса

В чуть более правовых государствах передача служебной переписки третьей стороне может вызвать достаточно серьезные проблемы, так что пользователям стоит задуматься, стоит ли использовать этот продукт. С учетом того, что linkedin чаще инструмент для поддержания служебных контактов — то и email, который будет у вас в профиле, и переписка с которого будет проксироваться — вероятнее всего будет ваш служебный.

Intro модифицирует ваши письма

И как следствие — это пораждает сразу несколько проблем:

  • Письма подписаные ЭЦП потеряют свою достоверность — подпись будет невалидна
  • Зашифрованные письма скорее всего тоже будут повреждены по той же причине
  • Блоки добавляемые к письму очень быстро станут целью фишинговых атак
Проблемы с безопасностью самого Linkedin

Не так давно база пользователей linkedin была скомпрометирована, возможно что будут происходить и дальнейшие атаки, равно как и нет гарантии что взломщики не оставили бэкдоров после последнего взлома.

«Маркетинговые» исследования

Хотелось бы быть реалистом — пользователи социальных сетей — не клиенты компаний, и ресурс этих компаний. Прибыльность часто зависит от того, как много владельцы социальной сети знают об узлах этой сети. Как минимум это позволяет таргетировать рекламу очень точно. Анализ переписки пользователей(пусть даже и автоматический, как у gmail) мог бы дать огромную массу бесценной информации.
Нет никакой гарантии что Linkedin не будет сохранять вашу переписку.

Если бы я был NSA...

… и узнал что какая-то компания установила свой прокси на огромное количество смартфонов и перехватывает всю переписку их владельцев… ну вы поняли, да?

Напоследок

Несколько ссылок по теме:

Буду рад замечаниям, присланным в личные сообщения

Автор: m0s

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js