Otra aplicación de iOS sacudida por la polémica de la privacidad. En esta ocasión se trata de LinkedIN para iOS, que tal y como han demostrado los investigadores Yair Amit y Adi Sharabani en una presentación dada en la Universidad de Tel Aviv, la aplicación está enviando en texto claro toda la información de las reuniones que el usuario tiene en el calendario.
En este caso, la aplicación solicita la aprobación del usuario para sincronizar los calendarios con sus servidores, para poder extender la información de las reuniones con los perfiles de los miembros que participarán en ella. Sin embargo, cuando se concede dicho permiso, la transmisión de los eventos del calendario es completa, en lugar de sólo algún identificador, y lo que es peor, se realiza en texto claro, dejando que todo el mundo en la misma red pueda capturar esa información.
Figura 1: Información capturada por la red de los calendarios |
No es nuevo que LinkedIN no utiliza canales de cifrado, ya que esto no lo realiza ni en su aplicación web, por lo que no debería sorprender a nadie que la aplicación para iOS tampoco haga uso de ellos, lo que para nosotros es un fallo en ambos casos. Lo que agrava la situación según los investigadores es que se transmita absolutamente todo el calendario.
LinkedIN es una red social utilizada por mucha gente, incluso grandes directivos o políticos, por lo que la alerta va dirigida especialmente a aquellos que quieran tener privacidad de con quién se reunen y cuándo, no vaya a ser que alguien no deseado acceda a esa información.
No hay comentarios:
Publicar un comentario