Ami a fiók biztonságát illeti, a jelszókezelő használata az általában jó ötlet. De mi történik, ha az a jelszókezelő nyomon követi, amit csinál, és nem is mondja el? Biztonsági kutató szerint Mike Kuketz, a LastPass Android alkalmazás hét beágyazott nyomkövetővel rendelkezik, és a LastPass nem biztos, hogy tudja, milyen adatokat gyűjt.
Amint a The Register először észrevette, Kuketz a (z) Exodus adatvédelem hogy megvizsgálja a LastPass Android alkalmazást, és hét nyomkövetőt fedezett fel a kódba ágyazva:
- AppsFlyer
- A Google Analytics
- Google CrashLytics
- Google Firebase Analytics
- Google Címkekezelő
- MixPanel
- szegmens
Míg az Exodus Privacy megerősíti a nyomkövetők jelenlétét, ez nem garantálja, hogy bármit is csinálnának. Tehát Kuketz követte a hálózat megfigyelését, miközben új LastPass fiókot hozott létre. Rájött, hogy az alkalmazás szinte minden nyomkövető szerveréhez eljutott, anélkül, hogy először engedélyt kért volna.
A további ellenőrzés nem utal arra, hogy a nyomkövetők bármilyen felhasználónév vagy jelszó adatot továbbítottak volna, de úgy tűnik, hogy tudja, hogy a felhasználó mikor hoz létre jelszót és milyen típusú. Kuketz szerint az ilyen típusú követőkód beillesztése a jelszókezelőbe (vagy hasonló, biztonságra koncentráló alkalmazásba) nem elfogadható, mivel a fejlesztők nem tudják teljes mértékben tisztában lenni azzal, mit gyűjt a követőkód. Ez azért van, mert a nyomkövetők gyakran olyan saját kódot használnak, amely nem áll nyitva ellenőrzés céljából.
Úgy tűnik, hogy az adatmennyiség kiterjedt, és információkat tár fel a használt eszközről, a mobiltelefon-szolgáltatóról, a LastPass-fiók típusáról és a felhasználó Google Advertising ID-jéről (a felhasználó adatainak összekapcsolására az alkalmazások között). Elég adat ahhoz, hogy átfogó profilt hozzon létre a tárolt legprivátabb információk köré.
Az Exodus Privacy szerint más jelszókezelő nem használ annyi nyomkövetőt. Bitwarden van kettő, RoboForm és Dashlane van négy, és 1Jelszó nincs. Hogy a LastPass miért használ ennyit, nem világos.
A The Registernek adott nyilatkozatában a LastPass szóvivője azt mondta: „… ezek a nyomkövetők nem adhatnak át érzékeny, személyazonosításra alkalmas felhasználói adatokat vagy tárolási tevékenységet.” A szóvivő azt mondta, hogy a beállítások menüben leiratkozhat az elemzésekről. Ennek ellenére a jelentés és a LastPass közelmúltbeli változása között a szabadrétegű felhasználókat választásra kényszerítették asztali és mobil szinkronizálás között, itt az ideje áttérni egy másik alternatívára, mint például Bitwarden vagy 1Jelszó.
keresztül A regisztráció
