Хотя трекеры в Android-приложении LastPass не собирают никаких личных данных, новости могут не понравиться некоторым пользователям, заботящимся о конфиденциальности.
LastPass, популярный менеджер паролей, подвергся некоторой критике после сообщения о том, что его приложение для Android включает семь встроенных рекламных и аналитических трекеров, которые собирают данные, начиная от типа устройства пользователя и версии Android до того, находится ли пользователь на бесплатном плане и активировал ли биометрическую защиту.
Майк Кукетц (Mike Kuketz), немецкий исследователь, который раскрыл эту проблему, считает совершенно неприемлемым для приложений, которые обрабатывают чрезвычайно конфиденциальные данные, интегрировать в них рекламные и аналитические модули.
«Или, говоря в общих чертах: никакой проприетарный и непрозрачный внешний код не может быть интегрированным в приложения, в которых обрабатываются конфиденциальные данные. Какие данные эти модули собирают и передают сторонним поставщикам, иногда даже не знают сами разработчики приложений, которые интегрируют эти модули в свои приложения», — добавил он.
Используя Exodus, платформу аудита конфиденциальности для приложений Android, Кукетц обнаружил, что как только приложение Android запускается, оно немедленно связывается с поставщиками отслеживания. Приложение содержит Google Firebase Analytics, Segment, Google CrashLytics, AppsFlyer, Mixpanel и Google Analytics.
Собранная информация включает IP-адрес устройства, разрешение экрана, часовой пояс, рекламный идентификатор Google, информацию о поставщике услуг, а также, очевидно, одноразовый идентификатор пользователя. Пока приложение используется, оно передает метаданные о создаваемых новых паролях и их типе. Однако трекеры не собирают никаких данных о содержании.
Важно отметить, что пользователей не просят дать согласие на передачу некоторых их данных сторонним поставщикам, и Кукетц призвал приложение к ответу за то, что оно не позволяет пользователям отказаться от сбора данных. Однако представитель LastPass сообщил The Register, что приложение вообще-то предлагает такой выбор.
«Всем пользователям LastPass, независимо от браузера или устройства, предоставляется возможность отказаться от этой аналитики в настройках конфиденциальности LastPass, расположенных в их учетной записи здесь: Настройки учетной записи > Показать дополнительные настройки > Конфиденциальность. Мы постоянно пересматриваем наши существующие процессы и работаем над тем, чтобы они лучше соответствовали требованиям действующих стандартов защиты данных и превосходили их», — сказал представитель. Такое заявление компания также распространила после публикации отчета.
Представитель LastPass также заверил, что никакая конфиденциальная личная информация пользователя или действия в хранилище паролей не могут пройти через трекеры, добавив, что трекеры собирают только агрегированные статистические данные об использовании приложения, которые затем используются для оптимизации и улучшения LastPass. Однако следует отметить, что некоторые из этих трекеров можно найти и в нескольких других широко используемых менеджерах паролей.
Хотя отчет может сбить с толку пользователей, заботящихся о конфиденциальности, он не должен умалять преимуществ использования диспетчера паролей, в том числе во избежание распространенных ошибок при создании паролей. Пользователи, желающие удвоить свою безопасность, могут выбирать из множества как бесплатных, так и платных решений, некоторые из которых даже напрямую интегрируются в полнофункциональные решения безопасности. В этой связи добавление дополнительного уровня безопасности в виде многофакторной аутентификации также является желательным вариантом.