Исследователь безопасности детализировал семь трекеров в популярном менеджере паролей LastPass, которые сама компания или другие рекламодатели могут использовать для создания целевой рекламы для пользователей приложения.

Немецкий исследователь безопасности Майк Кукетц обнаружил семь трекеров в приложении LastPass для Android, диспетчере паролей, который только в Google Play Store установлен более 10 миллионов раз.

Были задействованы трекеры:

  • AppsFlyer
  • Гугл Аналитика
  • Google CrashLytics
  • Google Firebase Analytics
  • Диспетчер тегов Google
  • MixPixel
  • Сегмент

Трекеры стали использоваться в определенных приложениях, а именно в социальных сетях и интернет-магазинах. Исследователи отмечают, что включение трекеров в приложение для хранения паролей кажется коварным.

Кукетц отмечает, что сразу после запуска LastPass на Android шесть из семи приложений отслеживания активируются еще до того, как пользователь взаимодействует с приложением. Он также отмечает, что пользователя ни в коем случае не спрашивают, согласны ли они на передачу своих данных сторонним поставщикам.

Во время своего теста Кукетц обнаружил, что приложение отслеживает, какое устройство использует пользователь, используется ли приложение бесплатно или по подписке, и предпочитает ли пользователь использовать биометрическую блокировку.

Версия LastPass для Android также продолжает отслеживать пользователей, пока они используют приложение. Хотя трекеры могут не получать конфиденциальный контент, такой как сами пароли, они отслеживают почти все остальное.

Отслеживаемые данные включают в себя, когда был создан пароль, какую учетную запись создает пользователь, например профиль в социальной сети, а не счет в банке или кредитной карте, IP-адрес пользователя, текущее местоположение пользователя и многое другое. Также нет возможности возразить против этого отслеживания или отказаться от него – пользователю потребуется удалить его, чтобы предотвратить дальнейшее отслеживание.

В последующем посте Кукетц поделился взаимодействием читателя с службой поддержки LastPass, который категорически отрицал – дважды – наличие в приложении каких-либо трекеров.

Хотя наличие трекеров в версиях LastPass для iOS или macOS не подтверждено, беглый взгляд на «этикетку питания» бета-версии iOS намекает, что это тоже не исключено.

этикетка питания

В частности, приложение LastPass для iOS отслеживает местоположение пользователей, данные об использовании, контактную информацию и некоторый пользовательский контент, который можно сопоставить и продать рекламодателям, которые затем могут использовать эту информацию для таргетинга на пользователей с помощью рекламы.

Реестр указывает, что LastPass – не единственный менеджер паролей, у которого есть трекеры. Bitwarden и Dashlane содержат два и четыре трекера соответственно. Однако конкурент LastPass 1Password и KeePass с открытым исходным кодом вообще не имеют трекеров.

Представитель LastPass признал, что Реестр что, пока существуют трекеры, никакие личные данные пользователя или действия паролей через трекеры не передаются. Они утверждали, что трекеры собирают только ограниченные агрегированные статистические данные, которые используются для улучшения продукта.

Информация поступает в особенно неудачное время, так как LastPass недавно ввел ограничения на бесплатные учетные записи, ограничивая их либо компьютерами, либо мобильными устройствами. Кроме того, поддержка по электронной почте для бесплатных участников прекращается после 17 марта. Многие пользователи пригрозили покинуть службу после изменения.

.