Jump to content

Комментарий к записи В LastPass для Android нашли семь встроенных трекеров (jura12)


xak

Recommended Posts

https://xakep.ru/wp-content/uploads/2021/02/340898/LastPass.png

Немецкий ИБ-эксперт Майк Кукетц (Mike Kuketz) заметил, что в приложении LastPass для Android работают семь трекеров, которые наблюдают за пользователями.

Свои выводы исследователь строит на отчете некоммерческой организации Exodus, которая описывается как инициатива «возглавляемая хактивистами, цель которой — помочь людям понять проблемы слежения в Android-приложениях».

В менеджере паролей было найдено семь трекеров, в том числе четыре от Google, собирающих данные в аналитических целях и для отчетов о сбоях, а также от AppsFlyer, MixPanel и Segment. К примеру, последний собирает информацию для маркетинговых команд, а его разработчики пишут, что инструмент предлагает составить «единое представление о клиенте», профилируя пользователей и связывая воедино их действия на разных платформах (предположительно для персонализации рекламы).

Кукетц полагает, что таким образом разработчики LastPass стремятся монетизировать огромное количество бесплатных пользователей своего приложения. При этом исследователь предупреждает, что зачастую разработчики приложений вообще не знают, какие данные собирают трекеры и что передают третьим сторонам. В итоге интеграция в приложение чужого проприетарного кода может быть опасна и может привести к утечке данных. По мнению эксперта, подобным трекерам вообще не место в менеджере паролей, чья безопасность крайне важна.

По данным эксперта, LastPass передает на сторону сведения об используемом устройстве, операторе связи, типе учетной записи LastPass, рекламном идентификаторе Google (который может использоваться для связывания данных о пользователе из разных приложений). Кроме того, трекеры «знают»  когда пользователь создает новые пароли и какого они типа.

В итоге Кукетц приходит к выводу, что вместо LastPass лучше использовать другие парольные менеджеры, к примеру, опенсорсный KeePass. Дело в том, что, согласно Exodus, ни в коде KeePass, ни в коде 1Password трекеров нет вовсе. В коде опенсорсного Bitwarden можно обнаружить два «маячка»: аналитический Google Firebase и отчеты о сбоях Microsoft Visual Studio, а в коде Dashlane было найдено четыре.

Представители LastPass уже заверили СМИ, что с помощью обнаруженных трекеров нельзя передавать конфиденциальные данные пользователей, и их хранилище тоже в безопасности. Подчеркивается, что трекеры собирают лишь статистическую информацию об использовании приложения, которая используется для улучшения и оптимизации продукта. К тому же отказаться от сбора аналитики можно в настройках.

Adblock test (Why?)

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...