Aplicação do LinkedIn é um sonho para hackers

Rui Damião,

Investigadores de segurança estão a denominar a nova aplicação mobile da rede social LinkedIn como um sonho tornado realidade para hackers e agências de inteligência.

LinkedInRichard Bejtlich, Chief Research Office de uma empresa de segurança de computador, afirmou que está “estupefacto” com a aplicação. “Não consigo acreditar que alguém pensou que isto era uma boa ideia”.

A nova aplicação em questão chama-se “Intro”, um plug-in de e-mail para utilizadores de iOS que usa a informação do perfil do LinkedIn para que o utilizador que enviar o e-mail possa ter a posição que ocupa no seu trabalho a aparecer no centro do e-mail no iPhone ou iPad do utilizador.

Há quem defenda que a ideia é uma jogada inteligente por parte da rede social para que esta tenha mais “ação” em dispositivos móveis e para fazer com que os utilizadores pensem que o serviço é um site Web estático.

Investigadores de segurança encontraram um problema com esta aplicação. O que o Intro faz é redirecionar o tráfego de e-mail para e de o iPhone e iPad do utilizador através dos servidores do LinkedIn, analisando e pesquisando esses e-mails por dados relevantes, adicionando detalhes pertinentes da rede social.

O redirecionamento para um chamado “man-in-the-middle attack” onde os hackers, e mais recentemente as agências de inteligência, intercetam o tráfego de Internet para o seu destino e usar a informação da maneira que lhes aprouver.

O LinkedIn, de forma a responder às críticas, respondeu no seu blog que a os e-mails são encriptados de e para os servidores da empresas, afirmando, ainda, que a empresa não guarda e-mails no seu servidor.

A rede social tem um historial de não ter as melhores soluções de segurança. No último ano, o serviço foi “hackeado” e as passwords de seis milhões de utilizadores apareceram num message board russo, revelando que a empresa usa protocolos de segurança básicos. No último mês, a empresa foi alvo de uma ação judicial por utilizadores que afirmam que alguém acedeu de forma imprópria aos seus dados.