Schmutziger Hack im Video
Netzwerk „LinkedIn“ stellt fragwürdige Erweiterung für die Mail-App des iPhones vor
Unter dem Label „LinkedIn Intro“ hat das vor allem von Business-Nutzern stark frequentierte, soziale Netzwerk LinkedIn Eine Erweiterung für die Mail-Applikation des iPhones vorgestellt, deren Einsatz wir in Datenschutz-sensiblen Firmennetzen nicht empfehlen können.
„LinkedIn Intro“ klemmt sich mit Hilfe eines iOS-Zertifikates zwischen die Mail-Anwendung eures Gerätes und euren E-Mail Anbieter und leitet den gesamten Nachrichtenverkehr des persönlichen E-Mail-Postfachs über die Server des amerikanischen Unternehmens.
Durch ein paar schlaue Hacks, die LinkedIn auf seinem Firmenblog dokumentiert, ist das Unternehmen so der Lage, zusätzliche Inhalte in die E-Mail-Darstellung der iPhone-Applikation zu injizieren. Nutzer, die sich dafür entscheiden „LinkedIn Intro“ einzusetzen, bekommen in ihren E-Mails so etwa erweiterte Kontaktinformationen und direkte Links auf LinkedIn-Profilseiten angezeigt.
Doch wie gesagt: Um sich in die Mail-Anwendung des iPhones einzuklemmen, setzt „Linked In“ auf ein Man-in-the-middle-Verfahren und hört nicht nur eure gesamte E-Mail-Kommunikation ab, sondern fragt auch nach Benutzernamen und Passwort.
(Direkt-Link)Using this technique, we can simply ask the user for their email address and password, autodiscover the email provider settings, and send a configuration profile to the device. The user just needs to tap “ok” a few times, and then they have a new mail account.
Selbst schuld wer da mit macht. So blöd kann man doch gar nicht sein.
So blöd vielleicht nicht, aber so unwissend!?
Nichts ist unmöglich ;D
Okay, fairerweise sollte man vielleicht sagen, wer den Artikel gelesen hat und mit macht :)
Am sichersten ist halt immer noch der Papierverkehr. Da nicht mal Merkel und co. von der NSA verschont bleibt ist wohl alles im Internet unsicher.
Ineterssant ist ja, dass der Aufschrei anderer Länder gegen die NSA nicht wirklich gross ist, weil die ja selber das gleiche versuchen. Nur haben die noch keinen Snowden der etwas rauspfeift.
Interessant ist jedoch hier der Unterschied in der Berichterstattung und in den Kommentaren: Als Apple den Sync in die Cloud gelegt hat hieß es nur „So What?“. „Wir sind doch keine Agenten“ und „Datenschutzgesetze? Ja die Kennt Apple ja, da kann ich auch als Firma/Geschäftmann darauf vertrauen“. Und jetzt „Boah! Datenschutz! Boah!“
Zertifikat verified by NSA oder wat.
Welche Drogen haben die denn eingeworfen?!?!? Unglaublich!!!
Das wird ja immer schlimmer
Nach dem Motto: mach dich nackig!
Die Frage für mich ist jetzt, kann mir sowas irgendwie untergeschoben werdender würde man das merken…..
Gruß Mikesch
Meiner Meinung nach, wenn nur du dein iPhone benutzt, nicht. Man muss das Profil ja händisch installieren, was wiederrum einen Zugriff auf dein iPhone erfordert..
Lasse mich aber gerne eines besseren belehren, hier sind ja einuge findige Leute unterwegs
Nein, Profile muss man bestätigen soweit ich weiß. Allerdings würde ich es nie ohne Passcode irgendwo liegen lassen, denn über Profile kann man das iPhone auch komplett ausspionieren, nicht nur die Mail-App. Und wenn jemand das findet und einfach ein Profil installiert und wieder zurück legt, merkst du es kaum.
Also ich finde dies sehr praktisch, für geschäftliche Kontakte (außerhalb der Firma) benutzt man heutzutage sowieso zu 90% nur noch Xing und LinkedIn. Man muß ja nicht alle E-mails damit verbinden.
Für E-Mails die keiner Mitlesen soll, sollte man sowieso nicht das iPhone benutzen. Und interne Firmenmails gehen eh nur über VPN mit der umständlichen Firmenapplikation.
Außerdem benutzt die heutige jugend eh ohne drüber nachzudenken WhatsApp und Co. und scheert sich einen dreck wer mitlesen kann.
Mir fehlen die Worte. Kennt jemand eine Steigerung von Facepalm.
Ach und du verschlüsselst also alle deine E-Mails per PGP.
Kann er nicht weil der Empfänge das auch unterstützen muss.
Ein Man-In-The-Middle Feature als „praktisch“ zu titulieren hat doch nicht den geringsten Bezug dazu ob ich PGP benutze, oder nicht!
Wer über Facebook, WhatsApp, Googlemail & Co kommuniziert braucht auch kein „man-in-the-middle“ mehr.
Und es ist nun mal so das sehr viel externe Firmenkommuikation über LinkedIn oder Xing direkt geht. Ob man die Platform direkt nutzt oder die Neue Mailfunktion nutzt ist dann irrelevant. Dann zählt halt nur das Praktikable.
Ich kommuniziere über keinen der genannten Dienste, eben weil ich keinen „man-on-the-middle“ brauche. Auch kenne ich keinen, der seriöse, geschäftliche Kommunikation darüber abwickelt. Es sind und bleiben Werbeplatformen.
Wie kann man es denn kontrollieren ob man es versehentlich installiert hat oder nicht ?
Und wie kann man es wieder löschen oder entfernen ?
Löschen von Profilen:
Einstellungen – Allgemein – Profile
Drauftippen und dann „Entfernen“
Gibts anscheinend in iOS7 nicht, oder bin ich nur zu blöd? Kann mich aber auch von früher nicht an diesen Menüpunkt erinnern.
Wenn du kein Profil installiert hast ist der Punkt nicht vorhanden. Willst du ein Profil installieren kommt ein Popup was du bestätigen musst und erst dann taucht dieser Punkt im Menü auf
nix „ios-zertifikat“, das ist auch keine „erweiterung der mail-app“ oder etwa ein „schlauer hack“. linkedin leitet die emails beim abruf ganz einfach über ihre server und fügt dabei noch etwas html-code ein. die konfiguration für den neuen mail-account wird dann als profil ans ios-gerät gesendet. auf dem gerät selbst wird dabei keine app oder anderweitiger code installiert.
das macht’s alles natürlich keinen deut besser. dennoch sollte man darauf achten, die technischen details korrekt wiederzugeben und nicht unnötig verwirrung zu stiften, wenn man darüber berichtet.
danke.
Und so liest sich der gesamte Zusammenhang schon ganz anders.
Wer bewusst seine Zugangsdaten aus der Hand gibt um diese dann für eine modifizierte Einrichtung eines Emailacounts per Zertifikat blind zu installieren, muss arg gutgläubig sein.
Die c’t hat vor geraumer Zeit vorgeführt, was mit (gefakten) Certificaten auf iOS so alles möglich ist. Allerdings verlangt die Installation des Certifikates immer noch die Einwilligung des User. Im Zweifel lieber die Herkunft des cert. Überprüfen, auch wenn es Mehraufwand bedeutet.
Das Timing ist ja perfekt: halb Deutschland regt sich über das Abhören von Angie’s Handy auf und LinkedIn fragt mal ganz lässig nach Benutzernamen und Passwort von (geschäftlichen) Mailaccounts.
Wer sich auf so etwas einlässt, muss mit dem Klammersack gepudert sein
wieso sollte ICH mich aufregen ich finde es einfach genial, wenn die dumme Nuss ihre eigene Medizin schlucken muss vielleicht passiert jetzt ja mal was alles andere wurde von der Regierung ja schön togeschwiegen… aber sie ist ja so eine „Nette“
Bei solchen nachrichten bin ich doch immer wieder froh, dass ich bei ifun lese. Teilweise bekommt man sow erwas sonst gar nicht mit und bleibt unwissend.
Danke ifun-team :-)