Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software & Infrastruktur

LinkedIn kann E-Mails mitlesen: Sicherheitsexperten kritisieren „Intro“

LinkedIn Intro. (Quelle: intro.linkedin.com)

LinkedIn hat „Intro“ als technische Meisterleistung und sinnvolle Erweiterung für Apple Mail präsentiert, doch Sicherheitsexperten kritisierten dessen weitreichende Möglichkeiten. Mit einem Blogpost versucht LinkedIn jetzt die Kritiker zu überzeugen.

LinkedIn hat vergangene Woche einen neuen Web-Dienst namens „Intro“ gestartet, der von mobilen Apple-Geräten versendete E-Mails automatisch um LinkedIn-Profildaten des Absenders ergänzt. Das technisch anspruchsvolle Feature ermöglicht ein zwischengeschalteter Proxy-Server. Sicherheitsexperten haben jedoch vor den damit einhergehenden Möglichkeiten gewarnt – woraufhin LinkedIn jetzt reagiert und Nutzern hohe Sicherheitsstandards verspricht.

Intro: „Doing the Impossible on iOS“

Die Idee von Intro basiert auf Rapportive – einem Webdienst, den LinkedIn im vergangenen Jahr für etwa 15 Millionen US-Dollar gekauft hat. Das Gmail-Plugin verknüpft alle ausgehenden E-Mails mit den sozialen Profilen der Nutzer. Eine Funktion, die sich bislang nicht auf mobilen Apple-Geräten reproduzieren ließ.

LinkedIn Intro im Praxiseinsatz. (Quelle: intro.linkedin.com)
LinkedIn Intro im Praxiseinsatz. (Quelle: intro.linkedin.com)

In einem ausführlichen Blogpost erklärt Software-Entwickler Martin Kleppmann von LinkedIn, wie das Unternehmen bei der Entwicklung von Intro schrittweise alle technischen Hürden beseitigte. Eine zentrale Rolle spielt hierbei der Proxy-Server, der alle von Nutzern versendeten E-Mails um die entscheidenden Informationen anreichert.

Durch einen per CSS definierten „Hover“-Effekt können Empfänger die durch LinkedIn Intro hinzugefügten Informationen „ausklappen“. Der Mail-Client zeigt daraufhin eine Zusammenfassung des LinkedIn-Profils, wie unten stehendes Foto zeigt. Eine zweite Errungenschaft des Entwicklerteams ermöglicht automatische Updates der eingebundenen LinkedIn-Profile. Die technische Grundlage hierfür bietet ein iFrame, schreibt Kleppmann.

Intro: Zusätzliche Informationen „auf Knopfdruck“. (Quelle: intro.linkedin.com)
Intro: Zusätzliche Informationen „auf Knopfdruck“. (Quelle: intro.linkedin.com)

Auch der Installationsprozess von „Intro“ wurde möglichst einfach gestaltet, so Kleppmann. Wie er im Unternehmensblog hervorhebt, setze LinkedIn hierbei auf sogenannte „Konfigurationsprofile“. Sie erleichtern in Unternehmen das Einrichten von iPhones. Nutzer müssen dadurch selbst keine manuellen Einstellungen vornehmen.

Sicherheitsexperten: LinkedIn könne durch Intro alle E-Mails lesen

Der Proxy-Server von LinkedIn simuliert eine „Man-in-the-Middle-Attacke“, um die versendeten E-Mails um Profildaten anzureichern. Sicherheitsexperten kritisierten deshalb, dass LinkedIn zumindest die Gelegenheit hätte, alle ausgehenden E-Mails mitzulesen. Eine Zusammenfassung dieser Kritik liefert Chip Online unter dem Titel „Ein Traum für Hacker und die NSA“

In einem Blogbeitrag von Cory Scott, intern für die Sicherheit bei LinkedIn zuständig, heißt es jetzt: „Alle Kommunikation zwischen dem Mobilgerät, LinkedIn Intro und dem E-Mail-System des Empfängers basiert auf SSL-Verschlüsselung.“ Die Daten würden nach dem Vorgang gelöscht. Heise Security schreibt hingegen: „LinkedIn muss jedoch nicht nur die Mail-Header lesen und auswerten, sondern auch den Text der Nachricht selbst.“

Die von Sicherheitsexperten geäußerten Bedenken konnte LinkedIn demnach nicht beseitigen.

Wie steht ihr zur Debatte? Hättet ihr Sorgen, dass LinkedIn heimlich mitliest?

Bitte beachte unsere Community-Richtlinien

2 Reaktionen
joachim

mitlesen ist doof und das einsetzen überflüssig denn nur daus lesen mail in html :-)

Stephan

Hallo Lars,

zu Deiner Frage: Als nachgewiesener LinkedIn Fanboy... hätte ich trotzdem Bauchschmerzen damit (1). Allerdings kann ich die Wellen nicht ganz verstehen: Etliche große Mailprovider tun genau das seit jahren, um Nutzerprofile zu pflegen. Auch sollte man sich bewußt sein, dass es sich nicht um die eigentliche LinkedIn App handelt, sondern einen Service, den man gesondert aktivieren muss. Bei der Aktivierung widerum wird genau das auch geschrieben: "LinkedIn erhält Zugriff auf alle Mails".

lG
Stephan

(1 http://linkedinsiders.wordpress.com/2013/10/28/intro-mail-linkedin-apple/

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Finde einen Job, den du liebst