Безопасность вызывает вопросы о трекерах в приложении LastPass для Android

Исследователь безопасности детализировал семь трекеров в популярном менеджере паролей LastPass, которые сама компания или другие рекламодатели могут использовать для создания целевой рекламы для пользователей приложения.

Немецкий исследователь безопасности Майк Кукетц обнаружил семь трекеров в приложении LastPass для Android, диспетчере паролей, который установлен более 10 миллионов в одном только магазине Google Play.

В число задействованных трекеров входили:

AppsFlyer Google Analytics Google CrashLytics Google Firebase Analytics Google Tag Manager MixPixel Segment

Трекеры стали обычным явлением в определенных приложениях, а именно в социальных сетях и интернет-магазинах. Исследователи отмечают, что включение трекеров в приложение для хранения паролей кажется коварным.

Кукетц отмечает, что сразу после запуска LastPass на Android шесть из семи приложений отслеживания активируются еще до того, как пользователь взаимодействует с приложением. Он также указывает, что пользователя ни в коем случае не спрашивают, согласны ли они на передачу своих данных сторонним поставщикам.

Во время своего теста Кукетц обнаружил, что приложение отслеживает, какое устройство использует пользователь, используется ли приложение бесплатно или по подписке, и предпочитает ли пользователь использовать биометрическую блокировку.

Версия LastPass для Android также продолжает отслеживать пользователей, когда они используют приложение. Хотя трекеры могут не получать конфиденциальный контент, такой как сами пароли, они отслеживают почти все остальное.

Отслеживаемые данные включают в себя, когда был создан пароль, какую учетную запись создает пользователь, например профиль в социальной сети, а не счет в банке или кредитной карте, IP-адрес пользователя, текущее местоположение пользователя и многое другое. Также нет возможности возразить против этого отслеживания или отказаться от него — пользователю потребуется удалить его, чтобы предотвратить дальнейшее отслеживание.

В последующем посте Кукетц поделился взаимодействием читателя с службой поддержки LastPass, который категорически отрицал — дважды — наличие в приложении каких-либо трекеров.

Хотя наличие трекеров в версиях LastPass для iOS или macOS не подтверждено, быстрый взгляд на «этикетку питания» бета-версии iOS намекает, что это тоже не исключено.

В частности, приложение LastPass для iOS отслеживает местоположение пользователей, данные об использовании, контактную информацию и некоторый пользовательский контент, который можно сопоставить и продать рекламодателям, которые затем могут использовать эту информацию для таргетинга на пользователей с помощью рекламы.

Регистр указывает, что LastPass — не единственный менеджер паролей, у которого есть трекеры. Bitwarden и Dashlane содержат два и четыре трекера соответственно. Однако конкурирующий с LastPass 1Password и KeePass с открытым исходным кодом вообще не имеют трекеров.

Представитель LastPass подтвердил The Register, что, пока существуют трекеры, никакие личные данные пользователя или действия паролей через трекеры не передаются. Они утверждали, что трекеры собирают только ограниченные агрегированные статистические данные, которые используются для улучшения продукта.

Информация поступает в особенно неудачное время, так как LastPass недавно ввел ограничения на бесплатные учетные записи, ограничивая их либо компьютерами, либо мобильными устройствами. Кроме того, поддержка по электронной почте для бесплатных участников прекращается после 17 марта. Многие пользователи пригрозили покинуть службу после изменения.