Исследователь безопасности Майк Кукетц рекомендовал не использовать диспетчер паролей LastPass для Android, поскольку обнаружил в нем семь встроенных трекеров. Производитель программного обеспечения заявляет, что пользователи могут отказаться от трекинга, если захотят.
Кукетц обнаружил семь трекеров, в том числе четыре от Google для аналитики и отправки отчетов о сбоях, а также трекеры от AppsFlyer, MixPanel и Segment. Последняя собирает данные для маркетинговых команд и утверждает, что предлагает «единое представление о клиенте», связывая действия пользователей на разных платформах с их профилем.
Кукетц отмечает, что попытка монетизировать бесплатных пользователей в таком виде представляет опасность. Обычно трекеры работают так, что разработчик компилирует код в свое приложение. Собранную информацию можно использовать для создания цифрового профиля пользователя. При этом, как утверждает немецкий исследователь, даже разработчики приложений не знают, какие данные собираются и передаются сторонним поставщикам, а интеграция проприетарного кода может вызвать угрозы безопасности.
Кукетц решил исследовать, какие именно данные передаются, путем проверки сетевого трафика. Он обнаружил, что они включают подробную информацию об используемом устройстве, операторе мобильной связи, типе учетной записи LastPass, рекламном идентификаторе Google, а также данные о том, когда создаются новые пароли и какого они типа.
Кукетц отметил отсутствие каких-либо диалоговых окон для отказа пользователей или для их информирования о сборе данных, отправляемых третьим лицам.
Исследователь порекомендовал использовать другой менеджер паролей, например, KeePass с открытым исходным кодом.
Встроенных трекеров нет у таких менеджерах паролей, как 1Password и KeePass. У Bitwarden с открытым исходным кодом имеется два трекера для аналитики Google Firebase и отчетов о сбоях Microsoft Visual Studio. У Dashlane всего четыре трекера.
В LastPass утверждают, что «трекеры собирают ограниченные агрегированные статистические данные о том, как вы используете LastPass, которые используются, чтобы помочь нам улучшить и оптимизировать продукт».
Компания утверждает также, что любой пользователь может отказаться от трекинга в настройках конфиденциальности LastPass в учетной записи: Настройки учетной записи>Показать дополнительные настройки>Конфиденциальность.
Ранее LastPass изменил условия бесплатного использования сервиса. Теперь пользователи могут бесплатно хранить свои пароли только для одного типа устройства. С 16 марта они должны будут выбирать, какой «активный тип устройства» хотят использовать. Для того, чтобы сохранить версии менеджера и на мобильных устройствах, и на ПК, придется платить $3 в месяц или $4 по семейному тарифу, рассчитанному для шести пользователей.
