Майк Кукетц, експерт з кібербезпеки, був вельми здивований, виявивши цілих сім трекерів в додатку, якому користувачі довіряють свої паролі. Варто відзначити, що LastPass встановили з Google Play понад десять мільйонів разів. Трекери, серед яких є 4 від компанії Google, можуть використовуватися для збору даних у рекламних цілях.
Цікаво Простий пароль міг стати причиною хакерської атаки на компанію SolarWinds
Що виявив дослідник
Додаток містить наступні трекери:
- AppsFlyer
- Google Analytics
- Google CrashLytics
- Google Firebase Analytics
- Google Tag Manager
- MixPixel
- Segment
Трекери стали звичайним явищем в додатках таких типів, як соціальні мережі та клієнти інтернет-магазинів. А ось що стосується програм, призначених для забезпечення конфіденційності, таких як менеджери паролів, дослідники сходяться на думці, що включення в них трекерів є вкрай неетичним.
Кукетц зазначає, що шість з семи трекерів в LastPass активуються ще до початку взаємодії користувача з додатком. Але при цьому вони не запитують користувача, чи згоден він надавати свої дані третім особам.
Звичайно, трекери не мають доступу до паролів, що зберігаються в додатку, однак вони відстежують практично всі дії користувача.
Представники LastPass запевнили ЗМІ, що за допомогою виявлених трекерів не можна передавати конфіденційні дані користувачів, і їх сховище теж в безпеці. Трекери, за їх словами, збирають лише статистичну інформацію про використання програми, яка використовується для поліпшення й оптимізації продукту. До того ж відмовитися від збору аналітики можна в налаштуваннях.
Ярлики конфіденційності в Apple AppStore також вказують на те, що версія LastPass для iOS збирає ряд призначених для користувача даних, включаючи місце розташування, список контактів, а також має доступ до призначеного для користувача контенту і рекламного ідентифікатора.