安全关键型应用程序中的第三方代码显然不是最佳选择,但公司表示您可以选择退出
安全研究人员在注意到七个嵌入式跟踪器后,建议不要使用LastPass密码管理器Android应用程序。该软件制造商表示,用户可以选择退出。
德国信息安全专家Bod Mike Kuketz在Exodus的分析中发现了LastPass的跟踪器,该跟踪器将自己描述为由黑客主义者领导的非营利组织,其目的是帮助人们更好地了解Android应用程序跟踪问题。"
LastPass上的出埃及记报告显示了Android应用程序中的七个跟踪器,其中四个来自Google用于分析和崩溃报告,另外一个来自AppsFlyer,MixPanel和Segment。例如,细分(Segment)收集了营销团队的数据,并声称提供了客户的单一视图,对用户进行了概要分析,并在不同平台上关联了他们的活动,这大概是针对量身定制的广告。
LastPass有许多免费用户-如果其所有者试图以某种方式货币化他们是否有问题?库克兹说的是。通常,跟踪器的这种工作方式是,开发人员将代码从跟踪提供程序编译到他们的应用程序中。收集的信息可用于根据用户的活动建立用户兴趣的资料,并通过广告定位用户。
库克兹说,甚至应用程序开发人员也不知道收集了什么数据并将其传输给第三方提供商,专有代码的集成可能会带来安全风险和意外行为,以及隐私风险。他说,这些都不属于密码管理器,密码管理器对安全性至关重要。
库克兹还通过检查网络流量来调查传输了哪些数据。他发现其中包括有关所用设备,移动运营商,LastPass帐户类型,Google Advertising ID(可在不同应用程序之间关联有关用户的数据)的详细信息。在使用过程中,数据还会显示何时创建新密码以及它们是什么类型。 Kuketz没有建议传输实际的密码或用户名,但指出没有任何选择退出对话框,也没有为用户提供有关将数据发送给第三方的信息。他认为,跟踪器的出现表明对安全性的态度欠佳。库克兹(Kuketz)建议更改为其他密码管理器,例如开源KeePass。
LastPass将免费密码管理器的支持者从下个月开始限制为仅一种设备类型(计算机或移动设备)
阅读更多
所有密码应用程序都包含此类跟踪器吗?不是出埃及记。 1密码没有。 KeePass没有。开源Bitwarden有两个用于Google Firebase分析和Microsoft Visual Studio崩溃报告。 Dashlane有四个。 LastPass似乎比其竞争对手拥有更多的东西。是的,很多智能手机应用都有跟踪器:今天,我们正在谈论LastPass。
密码管理器对于大多数用户来说是必不可少的,因为要管理的密码数量超出了我们记住密码的能力,而且安全所需的复杂密码尤其难以记住。在多个服务中使用相同的密码是不明智的做法,因为如果密码被盗或无意中泄露,这会增加影响。
关于LastPass中的跟踪器的讨论时机不好。本月早些时候,该公司(由LogMeIn拥有)削弱了其免费产品的支持范围,仅支持一种设备类型,许多用户表示他们将因此而转换-例如用户Mattias Ahnberg,他在Twitter上写道:"这意味着我最终将迁移到1Password,而不是被您添加的限制所阻止。失去免费用户甚至可能是故意的,但是跟踪问题也会影响付费用户,这将是一个更大的问题。
LastPass的一位发言人告诉我们:"不能通过这些跟踪器传递敏感的个人身份用户数据或保险库活动。这些跟踪器收集有关您如何使用LastPass的有限的汇总统计数据,该数据用于帮助我们改进和优化产品。
"所有LastPass用户,无论使用何种浏览器或设备,都可以在其帐户的“ LastPass隐私设置”中选择退出这些分析:帐户设置>显示高级设置>隐私。我们正在不断审查我们的现有流程,并努力使它们更好地符合并超过当前适用的数据保护标准的要求。" ®
编者注:本文在发布后已得到更正,以指代更流行的KeePass而不是KeyPass。 都没有追踪器。 注册-技术社区的独立新闻和观点。 情境发布的一部分