LinkedIn kapert iOS-Mail
Und wenn du denkst, es geht nicht wilder, kommt von irgendwo ein LinkedIn daher. Nachdem das Netzwerk im letzten Jahr 6.5 Millionen Passwörter für Benutzerkonten verschusselte, spielt es jetzt selbst 'Man-in-the-Middle' und bietet einen Zwischenstopp aller eurer E-Mails auf ihren Servern an.
Der Deal ist kindisch: Ihr gebt (potenziell) eure komplette Online-Kommunikation frei und bekommt im Gegenzug eine Handvoll Kontaktinformationen in Apples Mail-App gepatched. Selten war das Motto "Du bist nicht der Kunde, du bist das Produkt!" so passend.
Neben den (offensichtlichen) Folgen für die eigene Privatsphäre (das Postgeheimnis, wenn man so hochtrabend will), sind die Sicherheitsimplikationen. Bishop Fox nannte Intro, so vermarktet LinkedIn sein Projekt, "a Dream for Attackers".
Intro works by pushing a security profile to your device; they’re not just installing the Intro app. They have to do this in order to re-route your emails. But, these security profiles can do much, much more than just redirect your emails to different servers. A profile can be used to wipe your phone, install applications, delete applications, restrict functionality, and a whole heap of other things.
Die Reichweite, die man einem Profil mit einer derartigen Installation zugesteht, ist für den unbedarften Anwender komplett intransparent. Was man verstehen muss: Die Profile sind kein Hack. LinkedIn nutzt iOS, wie es aufgebaut ist, allerdings nicht so, wie es gedacht war. Im Firmenumfeld beispielsweise beschränken oder erweitern Konfigurationsprofile die Software der Mitarbeiter_innen oder installieren interne Business-Anwendungen.
LinkedIn ist bei weitem nicht der erste Anbieter, der Funktionalität und Schnittstellen, die der App Store untersagt, über ein Profil, das man sich aus dem Netz saugt, aufkratzt.
Onavo ist bekannt? Das ursprünglich kleine Start-up komprimiert Datentraffic um euch (im Monat oder Urlaub) ein paar Bits zu sparen. Dafür routet der Service jedoch jede Netzanfrage, egal aus welcher App, durch seine Datentore. (Spiele-)Entwickler lieben die systemweit eingreifende App, die in der Vergangenheit auch regelmäßig falsche Datenpakete verschluckte und die Posteingänge anderer App-Store-Produzenten mit Support-Anfragen sprengte.
Seit letzter Woche ist Onavo, mit allen seinen eingesammelten Daten, ein Baustein von Facebooks Social Graph. Die Übernahme verwundert nicht.
Bei einem Kaliber wie LinkedIn jedoch, das über mehrere Projekte direkt mit Apple kooperiert, ist Intro aber tatsächlich eine Überraschung. Mir fällt es schwer sich vorzustellen, dass Apple diese Art von HTML-Spritzen in den Design-Muskel seiner Mail-Software abnickte (und/oder zukünftig toleriert).
Unabhängig davon kann es nicht in Cupertinos Interesse sein, auf iOS den Kampf um datenhungrige Profile für Endkunden ausbrechen zu lassen.
But what happens when using profiles for non-security, non-enterprise features becomes widespread? Won’t Google, Facebook, Twitter, and just about every social or ad-supported service want the same access to make it easier to mine your private data, spam your contacts, and evade App Store restrictions?