⚙️ Yleiskatsaus artikkeleihin ohjelmista, autoista, mobiililaitteista, tietokoneista ja muusta. Artikkeleita nörteille.

LastPass Android -sovellus sisältää 7 seurantaohjelmaa kolmansien osapuolien yrityksiltä 😬

7

Lastpass

Kun kyse on tilin turvallisuudesta, salasananhallinnan käyttö on yleensä hyvä idea. Mutta mitä tapahtuu, jos salasananhallinta seuraa mitä olet tekemässä eikä edes kerro sinulle? Tietoturvatutkija Mike Kuketzin mukaan LastPass Android -sovelluksessa on seitsemän sulautettua seurantalaitetta, ja LastPass ei välttämättä tiedä, mitä tietoja he keräävät.

Kuten The Register huomasi ensimmäisenä, Kuketz käytti Exodus Privacyn työkaluja LastPass Android -sovelluksen tutkimiseen ja löysi seitsemän sen koodiin upotettua seurantaohjelmaa:

  • AppsFlyer
  • Google Analytics
  • Google CrashLytics
  • Google Firebase Analytics
  • Google Tag Manager
  • MixPanel
  • segmentti

Vaikka Exodus Privacy vahvistaa jäljittäjien olemassaolon, se ei takaa, että he tekevät mitään. Joten Kuketz seurasi verkon valvontaa perustaessaan uutta LastPass-tiliä. Hän huomasi, että sovellus tavoitti lähes jokaisen jäljittäjän palvelimia pyytämättä ensin lupaa.

Lisätarkastelut eivät viittaa siihen, että jäljittäjät olisivat siirtäneet käyttäjätunnusta tai salasanaa, mutta se näyttää tietävän, milloin käyttäjä luo salasanan ja minkä tyypin. Kuketz sanoo, että tämän tyyppisen seurantakoodin sisällyttäminen salasanojen hallintaohjelmaan (tai vastaavaan tietoturvaan keskittyvään sovellukseen) ei ole hyväksyttävää, koska kehittäjät eivät voi olla täysin tietoisia siitä, mitä seurantakoodi kerää. Tämä johtuu siitä, että seurantalaitteet käyttävät usein omaa koodia, joka ei ole avoinna tarkastettavaksi.

Tietojen määrä näyttää olevan laaja, paljastaen tietoja käytetystä laitteesta, matkapuhelinoperaattorista, LastPass-tilin tyypistä ja käyttäjän Google-mainostunnuksesta (käytetään käyttäjää koskevien tietojen yhdistämiseen sovellusten välillä). Se riittää rakentamaan laajan profiilin tallentamiesi yksityisimpien tietojen ympärille.

Exodus Privacyn mukaan muut salasananhallintalaitteet eivät käytä niin montaa seurantaa. Bitwardenilla on kaksi, RoboFormilla ja Dashlanella neljä, ja 1Passwordilla ei ole yhtään. Miksi LastPass käyttää niin paljon, ei ole selvää.

LastPassin tiedottaja sanoi The Registerille antamassaan lausunnossa: "… mitään arkaluonteisia henkilökohtaisesti tunnistettavia käyttäjätietoja tai holvin toimintaa ei voitu siirtää näiden seurantalaitteiden kautta." Tiedottaja sanoi, että voit poistaa analytiikan käytöstä asetusvalikossa. Tämän raportin ja LastPassin äskettäisen muutoksen välillä pakottaakseen vapaan tason käyttäjät valitsemaan työpöytä- ja mobiilisynkronoinnin välillä, voi kuitenkin olla aika siirtyä toiseen vaihtoehtoon, kuten Bitwardeniin tai 1Passwordiin.

Rekisterin kautta

saatat pitää myös Lisää kirjoittajalta

Tämä verkkosivusto käyttää evästeitä parantaakseen käyttökokemustasi. Oletamme, että olet kunnossa, mutta voit halutessasi kieltäytyä. Hyväksyä Lisätietoja