LinkedIn “Intro” oferece uma GRANDE brecha de segurança

linkedin-intro

O LinkedIn lançou um novo app chamado de Intro. Eles dizem que o app consegue “fazer o impossível”, mas para quem trabalha com segurança (como eu), isso tem um nome bem conhecido: email hijacking (ou um famoso ataque man-in-the-middle).

Por que? O app reconfigura o seu iDevice (iPhone, iPad e iPod Touch) para que TODOS os seus emails passem pelos servidores do LinkedIn. Ou seja, após instalar o app, TODOS os seus mails (enviados e recebidos) serão transmitidos via IMAP e SMTP pelos servidores do LinkedIn, onde eles irão analisar e indexar os seus email para fazerem o que acharem melhor com essas informações (algo semelhante, senão pior do que o Google já faz).

Vejam abaixo alguns pontos importantes para vocês NÃO instalarem o App:

  1. O LinkedIn estará alterando o conteúdo do seus emails, pois isso será necessário para incluir os perfis do LinkedIn. Isso sem contar na possibilidade de hackers utilizarem essa brecha de segurança para criar novos ataques.
  2. Quebra da segurança do serviço de email, pois o App estará adicionando informações ao email, quebrando a verificação de assinaturas do email original. Isso sem contar que emails criptografados deverão ser abertos para adicionar esse conteúdo, quebrando a criptografia e consequentemente a confidencialidade e integridade do email.
  3. O LinkedIn estará armazenando as suas informações, apesar da empresa falar que se trata apenas de meta-dados. Obviamente o LinkedIn não diz quais informações são armazenadas.
  4. A única forma do app funcionar é alterando o perfil de segurança do dispositivo. Essa é a única maneira de conseguir rotear todos os emails através dos servidores da empresa. O problema é que esses perfis podem fazer praticamente TUDO no seu aparelho, e não somente redirecionar emails (quem trabalhar com desenvolvimento de apps sabe muito bem disso).
  5. Se você utiliza o seu celular com email da empresa, provavelmente você estará violando as políticas de segurança da sua empresa, e você poderá ser perder o seu emprego por isso.

O grande problema está no fato que o LinkedIn simplesmente NÃO fala exatamente quais informações são armazenadas, como e o que será feito com elas. Todas as informações que eles passam sobre o aplicativo são vagas e ambíguas. Adicionalmente, será que o LinkedIn está forçando o tráfego através de conexões seguras (SSL/TLS)? Você consegue escolher quais contas de email serão roteadas? Existem dezenas de considerações a serem feitas.

Sugestão: NÃO instale o app nos seus dispositivos.

Via Secure1 Technology

Sobre: Marcus Trotta

Meu nome é Marcus Trotta, sou empresário e trabalho com tecnologia na área de segurança da informação. Por trabalhar nessa área, pode-se dizer que sou aficionado por tecnologia e qualquer coisa que diz respeito a internet, gadgets e afins.

Deixe uma resposta