Майк Кукетц, эксперт по кибербезопасности, был весьма удивлен, обнаружив целых семь трекеров в приложении, которому пользователи доверяют свои пароли. Стоит отметить, что LastPass установили из Google Play более десяти миллионов раз. Трекеры, среди которых есть 4 от компании Google, могут использоваться для сбора данных в рекламных целях.
Интересно Простой пароль мог стать причиной хакерской атаки на компанию SolarWinds
Что обнаружил исследователь
Приложение содержит следующие трекеры:
- AppsFlyer
- Google Analytics
- Google CrashLytics
- Google Firebase Analytics
- Google Tag Manager
- MixPixel
- Segment
Трекеры стали обычным явлением в приложениях таких типов, как социальные сети и клиенты интернет-магазинов. А вот что касается программ, предназначенных для обеспечения конфиденциальности, таких как менеджеры паролей, исследователи сходятся во мнении, что включение в них трекеров является крайне неэтичным.
Кукетц отмечает, что шесть из семи трекеров в LastPass активируются еще до начала взаимодействия пользователя с приложением. Но при этом они не спрашивают пользователя, согласен ли он предоставлять свои данные третьим лицам.
Конечно, трекеры не имеют доступа к паролям, хранящимся в приложении, однако они отслеживают практически все действия пользователя.
Представители LastPass заверили СМИ, что с помощью обнаруженных трекеров нельзя передавать конфиденциальные данные пользователей, и их хранилище тоже в безопасности. Трекеры, по их словам, собирают только статистическую информацию об использовании приложения, которая используется для улучшения и оптимизации продукта. К тому же отказаться от сбора аналитики можно в настройках.
Ярлыки конфиденциальности в Apple AppStore также указывают на то, что версия LastPass для iOS собирает ряд пользовательских данных, включая место расположения, список контактов, а также имеет доступ к пользовательскому контенту и рекламного идентификатора.