LinkedIn: iOS-Mail-Plugin Intro in der Kritik

29. Oktober 2013, von Steffen

Erst kürzlich hat das Business-Netzwerk LinkedIn seinen neuen Dienst Intro gestartet und schon schlagen Datenschützer Alarm. Das zunächst ausschließlich für iOS-Nutzer zur Verfügung stehende Plugin leitet E-Mails über einen Proxy-Server um, wo die Nachrichten mit LinkedIn-Profildaten ergänzt werden. Die dabei angewandte Methode ist scharfer Kritik ausgesetzt.

So funktioniert Intro

twitter pluginInstalliert wird Intro als Plugin innerhalb der Apple Mail App. Bisher steht Intro nur für das iPhone sowie für das iPad zur Verfügung. Es wird ein separater Account erstellt, über den die gesendeten Nachrichten auf einen Proxy-Server gelangen und dort analysiert sowie mit den passenden Informationen sowie dem Profilbild aus LinkedIn versehen werden. Dieser Schritt ist nötig, da es unmittelbar innerhalb der Mail App nicht möglich ist, eine Verknüpfung zu LinkedIn herzustellen. Das Plugin soll dem Xing-Konkurrenten zufolge dabei helfen, eingehende Nachrichten von unbekannten Absendern anhand der beigefügten Profilangaben besser von Spam zu unterscheiden.

Das Plugin Intro wurde grundsätzlich für die mobile E-Mail-Kommunikation entwickelt. In den letzten vier Jahren hat sich der Anteil mobil versendeter E-Mails enorm erhöht, sodass LinkedIn mit Intro einen Mehrwert schaffen wollte, der in der Anreicherung der Nachricht mit Profilinformationen besteht.

Aus Datenschützersicht bedenklich

Die Methode, mit der Intro arbeitet, kennt man in der Welt der Hacker auch als Man-In-The-Middle-Attacke, nur dass der Nutzer des LinkedIn-Plugins dieser „Attacke“ ausdrücklich zustimmt. Damit die Umleitung auf den zwischengeschalteten Proxy-Server erfolgen kann, wird ein neues Profil angelegt. Die bei der Übertragung genutzte SSL- und TLS-Verschlüsselung wird als nicht ausreichend betrachtet, denn die auf den Proxy-Server zwischengespeicherten Nachrichten werden bei der Analyse vollständig ausgelesen, und zwar innerhalb des offiziellen Wirkungsgebiets der NSA.

Der für Sicherheit zuständige LinkedIn-Mitarbeiter Cory Scott verspricht, dass die Nachrichten vom Server gelöscht werden, sobald sie samt hinzugefügter Profildaten an den Empfänger weitergeleitet wurden. Zudem habe man Intro intensiv auf mögliche Schwachstellen überprüft. Laut Datenschützern genügen diese Vorkehrungen jedoch nicht, zumal LinkedIn seit einem Hackerangriff im letzten Jahr, bei dem mehrere Millionen Passwörter gestohlen und auf einer Webseite veröffentlicht wurden, als unsicher gilt. Sieht man seine Daten in Gefahr, kann man den zusätzlichen Apple Mail Account über die Funktionen „Einstellungen“, „Allgemein“ und „Profile löschen“ und somit auch das Plugin wieder entfernen.

(Bild: Arrow/Fotolia)