LinkedIn的Intro可能成为攻击者眼中的肥肉

ZDNET安全频道 10月29日 国际新闻：随着LinkedIn公司最新Intro技术的出现，一些专业人士认为如果邮件传输经由相关服务器，那么用户的安全很可能受到威胁。

本周早些时候，该公司针对iPhone原生电子邮件应用发布了一款插件，旨在帮助用户直接将LinkedIn中的个人资料信息与电子邮件相对接。安全专家们表示，这项服务的本意在于为邮件系统增添更多专业化背景选项，但实际上却给用户的私人数据带来泄露风险。

一旦所有往来邮件经过LinkedIn服务器进行传输，服务器会提取并分析其中的数据，服务本身基本上相当于一种“中间人攻击”，安全咨询企业Bishop Fox公司在一篇员工博文中指出。

“将新数据源引入中间机制很可能引发安全问题，邮件显然正是攻击者眼中的最佳目标，”Bishop Fox写道，而且这项服务被用于发动钓鱼攻击将只是时间问题。

在这样一个广告宣传极具针对性的时代，网络上的任何内容都已不再是秘密——cookies、地理位置数据灸手可热，国家安全局也在蠢蠢欲动。然而为了将LinkedIn中的个人资料引入电子邮件，该公司所关注的信息对象实在太多，Bishop Fox公司安全管理合伙人Carl Livitt指出。“该公司在砸开这个蛋的时候用的锤子太大了。”

对于网络攻击者而言，Intro应用让LinkedIn成为一个唾手可得的目标，他告诉我们。

LinkedIn为这项服务配备了一套隐私政策，其中规定所有数据片段都将被用户及其设备的独特密钥进行加密。“服务器本身足够安全，而且全天侯受到监控，以防止任何未经授权的访问，”政策指出。

尽管LinkedIn并未明确表示对电子邮件的加密是为了在服务器端对内容进行修改并引用用户的个人资料信息，但实际情况正是这样，Livitt解释道。

不过其他一些观察家们则认为Intro应用并不会带来新的安全问题。“这种处理方式与其它云服务供应商并无区别，”其中包括谷歌、雅虎、美国在线等等，安全专家兼作家Bruce Schneier。“大家必须建立起对服务供应商的信任。”

“这只是另一家打算借此营利的企业，”他指出。“在此之前，已经有上千家公司采取这样的做法，现在仅仅是又多了一家而已。”

在数字安全领域，LinkedIn可能已经如履薄冰。去年该公司已经遭遇过一场相当严重的密码数据库泄露事故，数百万条散列化密码被公布在俄罗斯的某个在线论坛之上。

在一份声明中，一位LinkedIn公司发言人指出该公司一直在以非常严谨的态度处理用户的隐私与安全事务，而且已经“采取了经过严格验证的方式以确保LinkedIn Intro产品拥有理想的安全措施保护。”

如果安全风险真实存在，那么Intro这项服务是否真值得我们加以尝试？平心而论，这完全属于个人选择，Bishop Fox的Livitt指出，但对他个人来说答案是否定的。

“我也不建议自己的任何客户使用Intro，”他总结称。