安全研究人员在详细介绍了7个跟踪器后建议反对LastPass

2021-02-27 22:35:46

据The Register报告,在详细介绍了在Android应用中找到的七个跟踪器之后,安全研究人员建议使用LastPass密码管理器。尽管没有暗示研究人员Mike Kuketz分析过的跟踪器正在传输用户的实际密码或用户名,但Kuketz表示,对于处理此类敏感信息的安全性至关重要的应用程序,跟踪器的存在是不明智的做法。

对此报告的回应,LastPass的发言人表示,该公司收集了有关“ LastPass的使用方式”的有限数据,以帮助其“改善和优化产品”。重要的是,LastPass告诉The Register,“无法通过这些跟踪器传递任何敏感的个人身份用户数据或库活动”,并且用户可以在“高级设置”菜单的“隐私”部分中选择退出分析。

LastPass的跟踪器包括来自Google的四个跟踪器,用于处理分析和崩溃报告,以及来自一家名为Segment的公司的跟踪器,该公司据称为营销团队收集数据。库克兹分析了所传输的数据,发现其中包含有关智能手机的品牌和型号的信息,以及有关用户是否启用了生物识别安全性的信息。据库克兹称,即使所传输的数据无法识别个人身份,仅将这些第三方代码集成在一起也可能会带来安全漏洞。

“如果您实际使用LastPass,我建议您更改密码管理器,” Kuketz写道(通过机器翻译)。 “有些解决方案不能将数据永久发送给第三方并记录用户的行为。”

LastPass并不是唯一包含这样的跟踪器的密码管理器,但它似乎比许多流行的竞争对手都多。根据Exodus Privacy,免费替代品Bitwarden只有两个,而RoboForm和Dashlane有四个,而1Password没有。

该报告紧随LastPass宣布严格限制其免费套餐的功能之后。尽管免费用户目前能够在设备之间无限制地存储无限数量的密码,但是除非他们要付费,否则他们很快将不得不选择一种设备来查看和管理他们在“移动”或“计算机”上的密码。服务。更改将于3月16日生效。