Исследователь безопасности разбил семь трекеров в популярном менеджере паролей LastPass, который сама компания или другие рекламодатели могут использовать для создания целевой рекламы для пользователей приложений.
Это есть у немецкого исследователя безопасности Майка Кукица Обнаружить семь трекеров Внутри Android-приложения LastPass — диспетчера паролей с более чем 10 миллионами установок только в Google Play Store.
В число задействованных трекеров входят:
- Приложения для флаеров
- Гугл Аналитика
- Google CrashLytics
- Google Firebase Analytics
- Диспетчер тегов Google
- Смешать пиксель
- ломтик
Трекеры становятся все более популярными в определенных приложениях, таких как социальные сети и интернет-магазины. Исследователи отмечают, что включение трекеров в приложение для хранения паролей выглядит непросто.
Кукетц отмечает, что сразу после запуска LastPass на Android шесть из семи приложений отслеживания активируются до того, как пользователь взаимодействует с приложением. Это также указывает на то, что он никогда не спрашивал пользователя, согласен ли он передать свои данные сторонним поставщикам или нет.
Во время тестирования Кукетц обнаружил, что приложение отслеживает, какое устройство использует пользователь, используется ли приложение бесплатно или по подписке, и предпочитает ли пользователь использовать биометрическую блокировку.
Версия LastPass для Android также продолжает отслеживать пользователей, когда они используют приложение. Хотя трекеры могут не получать конфиденциальный контент, такой как сами пароли, они отслеживают почти все остальное.
Отслеживаемые данные включают в себя, когда создавать пароль, тип учетной записи, создаваемой пользователем, например профиль в социальной сети по сравнению с учетной записью банка или кредитной карты, IP-адрес пользователя, текущее местоположение пользователя и многое другое. Невозможно возразить или отказаться от этого отслеживания — пользователю необходимо будет удалить его, чтобы предотвратить дальнейшее отслеживание.
в Последнее наблюдение, Кукетц поделился взаимодействием читателя с службой поддержки LastPass, которая категорически отрицала — дважды — наличие в приложении каких-либо трекеров.
Хотя в версиях LastPass для iOS или macOS не было подтверждено никаких трекеров, быстрый взгляд на «стикер канала» бета-версии iOS показывает, что он тоже не из коробки.
особенно, Приложение LastPass для iOS Он отслеживает местоположение пользователей, данные об использовании, контактную информацию и некоторый пользовательский контент, и все это можно собирать и продавать рекламодателям, которые затем могут использовать эту информацию для таргетинга пользователей с помощью рекламы.
Запись указывает на LastPass — не единственный менеджер паролей с трекерами. У Bitwarden и Dashlane есть трекеры, два и четыре соответственно. Однако у конкурента LastPass 1Password и KeePass с открытым кодом вообще нет трекеров.
Представитель LastPass признался Запись Пока существуют трекеры, через трекеры не передаются никакие личные данные пользователя или действия с паролями. Они утверждали, что устройства слежения собирают только ограниченные совокупные статистические данные, которые используются для улучшения продукта.
Информация поступает в особенно неудачное время, поскольку LastPass недавно ввел ограничения на учетные записи бесплатного уровня, ограничивая их компьютерами или мобильными устройствами. Кроме того, поддержка по электронной почте для бесплатных участников заканчивается после 17 марта. Несколько пользователей пригрозили покинуть сервис после изменения.