Популярный менеджер паролей в центре внимания веб-трекеров

Хотя трекеры в Android-приложении LastPass не собирают никаких личных данных, новости могут не понравиться некоторым пользователям, заботящимся о конфиденциальности.

LastPass, популярный менеджер паролей, подвергся некоторой критике после сообщения о том, что его приложение для Android включает семь встроенных рекламных и аналитических трекеров, которые собирают данные, начиная от типа устройства пользователя и версии Android до того, находится ли пользователь на бесплатном плане и активировал ли биометрическую защиту.

Майк Кукетц (Mike Kuketz), немецкий исследователь, который раскрыл эту проблему, считает совершенно неприемлемым для приложений, которые обрабатывают чрезвычайно конфиденциальные данные, интегрировать в них рекламные и аналитические модули.

«Или, говоря в общих чертах: никакой проприетарный и непрозрачный внешний код не может быть интегрированным в приложения, в которых обрабатываются конфиденциальные данные. Какие данные эти модули собирают и передают сторонним поставщикам, иногда даже не знают сами разработчики приложений, которые интегрируют эти модули в свои приложения», — добавил он.

Используя Exodus, платформу аудита конфиденциальности для приложений Android, Кукетц обнаружил, что как только приложение Android запускается, оно немедленно связывается с поставщиками отслеживания. Приложение содержит Google Firebase Analytics, Segment, Google CrashLytics, AppsFlyer, Mixpanel и Google Analytics.

Собранная информация включает IP-адрес устройства, разрешение экрана, часовой пояс, рекламный идентификатор Google, информацию о поставщике услуг, а также, очевидно, одноразовый идентификатор пользователя. Пока приложение используется, оно передает метаданные о создаваемых новых паролях и их типе. Однако трекеры не собирают никаких данных о содержании.

Важно отметить, что пользователей не просят дать согласие на передачу некоторых их данных сторонним поставщикам, и Кукетц призвал приложение к ответу за то, что оно не позволяет пользователям отказаться от сбора данных. Однако представитель LastPass сообщил The Register, что приложение вообще-то предлагает такой выбор.

«Всем пользователям LastPass, независимо от браузера или устройства, предоставляется возможность отказаться от этой аналитики в настройках конфиденциальности LastPass, расположенных в их учетной записи здесь: Настройки учетной записи > Показать дополнительные настройки > Конфиденциальность. Мы постоянно пересматриваем наши существующие процессы и работаем над тем, чтобы они лучше соответствовали требованиям действующих стандартов защиты данных и превосходили их», — сказал представитель. Такое заявление компания также распространила после публикации отчета.

Представитель LastPass также заверил, что никакая конфиденциальная личная информация пользователя или действия в хранилище паролей не могут пройти через трекеры, добавив, что трекеры собирают только агрегированные статистические данные об использовании приложения, которые затем используются для оптимизации и улучшения LastPass. Однако следует отметить, что некоторые из этих трекеров можно найти и в нескольких других широко используемых менеджерах паролей.

Хотя отчет может сбить с толку пользователей, заботящихся о конфиденциальности, он не должен умалять преимуществ использования диспетчера паролей, в том числе во избежание распространенных ошибок при создании паролей. Пользователи, желающие удвоить свою безопасность, могут выбирать из множества как бесплатных, так и платных решений, некоторые из которых даже напрямую интегрируются в полнофункциональные решения безопасности. В этой связи добавление дополнительного уровня безопасности в виде многофакторной аутентификации также является желательным вариантом.

 

Оригинал материала

10 марта, 2021

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое
26.03.2024
Binance снова ищет покупателя на свои российские активы
26.03.2024
Безумцы или сознательные соучастники. Кто потворствует кредитным мошенникам
26.03.2024
Банки попросили не вводить оборотные штрафы за утечки. Опять

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных