⚙️ Ülevaade artiklitest programmide, autode, mobiilseadmete, arvutite ja muu kohta. Artiklid nohikutele.

LastPassi Androidi rakendus sisaldab 7 jälgijat kolmandate osapoolte ettevõtetelt 😬

10

Lastpass

Konto turvalisuse osas on paroolihalduri kasutamine üldiselt hea mõte. Aga mis juhtub, kui see paroolihaldur jälgib teie tegevust ega ütle teile isegi seda? Turvauurija Mike Kuketzi sõnul on LastPassi Androidi rakendusel seitse manustatud jälgijat ja LastPass ei pruugi teada, milliseid andmeid nad koguvad.

Nagu The Register esimest korda märkas, kasutas Kuketz Exodus Privacy tööriistu, et uurida LastPassi Androidi rakendust ja avastas selle koodi sisse manustatud seitse jälgijat:

  • AppsFlyer
  • Google Analytics
  • Google CrashLytics
  • Google Firebase Analytics
  • Google Tag Manager
  • MixPanel
  • segment

Kuigi Exoduse privaatsus kinnitab jälgijate olemasolu, ei garanteeri see, et nad midagi teevad. Nii et Kuketz jätkas uue LastPassi konto seadistamisel võrgu jälgimist. Ta avastas, et rakendus jõudis peaaegu kõigi jälgijate serveriteni ilma luba küsimata.

Täiendav kontroll ei viita sellele, et jälgijad edastasid kasutajanime või parooli andmeid, kuid tundub, et see teab, millal kasutaja parooli loob ja mis tüüpi. Kuketz ütleb, et seda tüüpi jälgimiskoodi lisamine paroolihaldurisse (või sarnasesse turvalisusele keskendunud rakendusse) ei ole vastuvõetav, kuna arendajad ei saa olla täielikult teadlikud sellest, mida jälgimiskood kogub. Selle põhjuseks on asjaolu, et jälgijad kasutavad sageli varalist koodi, mis pole kontrollimiseks avatud.

Andmemaht näib olevat ulatuslik, paljastades teavet kasutatava seadme, mobiiltelefoni operaatori, LastPassi konto tüübi ja kasutaja Google’i reklaami ID (kasutatakse kasutaja andmete ühendamiseks rakenduste vahel). See on piisavalt andmetest, et luua ulatuslik profiil kõige privaatsema salvestatava teabe ümber.

Exoduse privaatsuse kohaselt ei kasuta muud paroolihaldurid nii palju jälgijaid. Bitwardenil on kaks, RoboFormil ja Dashlane’il neli ja 1Passwordil pole ühtegi. Miks LastPass nii palju kasutab, pole selge.

Registrile antud avalduses ütles LastPassi pressiesindaja: "… nende jälgijate kaudu ei saa edastada tundlikke isikuandmeid ega varahoidla tegevust." Edasi ütles pressiesindaja, et saate seadete menüüs analüüsist loobuda. Selle aruande ja hiljutise muudatuse, mille LastPass tegi, et sundida vabataseme kasutajaid valima lauaarvuti ja mobiili sünkroonimise vahel, võib siiski olla aeg minna üle mõnele muule alternatiivile, nagu Bitwarden või 1Password.

Registri kaudu

Sulle võib ka meeldida Veel autorilt

See veebisait kasutab teie kasutuskogemuse parandamiseks küpsiseid. Eeldame, et olete sellega rahul, kuid saate soovi korral loobuda. Nõustu Loe rohkem