Наскоро LogMeIn успяха отново да подразнят потребителите на популярния мениджър на пароли LastPass, като ограничиха безплатното ползване на програмата до един тип устройство – мобилната или десктоп версията. Самата промяна не изглежда като нещо скандално – повечето известни подобни програми имат подобна политика. Става въпрос, че компанията го прави във време, в което сигурността е от особено значение, вземайки предвид отдалечения начин на работа в обстановката на COVID-19 и това, че LastPass е програма, доставяща сигурност във времена на несигурност. В този смисъл, това беше най-неподходящия момент за един подобен анонс. Логично и във форума на програмата се появиха гласове, които призовават за оттегляне на доверието от LastPass. А наскоро публикувано проучване от една неформална организация може да накара допълнителен брой хора да спрат да използват онлайн мениджъра на пароли.

Германски изследовател по сигурността призова наскоро потребителите на програмата да спрат да я използват, след като е открил, че в Android версията ѝ има вградени седем проследяващи тракера, предава The Register. Майк Кукертц от Exodus, направил своето откритие при скорошен анализ на програмата. Exodus се описва като организация, съставена от хактивисти, чиято цел е да помогне на хората да разберат по-добре проблемите, свързани с проследяващите техники на Android приложенията.

Анализът на Кукетц открил общо седем такива проследяващи услуги, сред които на Google – за целите на изграждане на доклади за сривове и анализ, както и такива, идващи от AppsFlyer, MixPanel и Segment. Последната компания например обслужва маркетингови компании, като предоставя „еднопрофилен поглед към потребителя“. Компанията успява да профилира потребителите, свързвайки дейността им през набор от платформи за целите на доставянето на таргетирана реклама.

Проблемът тук, смята Кукертц, не е само този, че потребителите на приложението не знаят, че ги използват като продукт. Много често дори създателите на приложенията не знаят какви данни биват събирани и предавани към трети страни от подобни услуги, а интеграцията на външен, затворен код, само по себе си може да представлява риск за сигурността и появата на неочаквано поведение на приложението. Подобни неща нямат място в мениджърите на пароли, които са критично важни системи за сигурността, убеден е Кукертц.

Той изследва също така какъв тип данни точно биват предавани от тези услуги. Добрата новина е, че те не предават имена и пароли. Кукертц изследва мрежовия трафик и установява, че тракерите предават какъв е вида на устройството, мобилния оператор, типа акаунт в LastPass и Google Advertising ID идентификатора (който свързва данните за потребителя през различни приложения). Друга информация, която бива обменяна тук е времето, в което се създават нови пароли и какъв тип са те. Всичко това се прави без знанието на потребителя и без да се иска съгласието му. Кукертц има един съвет към потребителите на приложението: сменете мениджъра на пароли.

Що се отнася до другите мениджъри на пароли, Exodus споделят, че 1Password и KeePass не използват нито един тракер. Bitwarden е с два – аналитичната платформа Google Firebase и системата за предаване на сривове на Microsoft Visual Studio, Dashlane е с четири.

От LastPass заявяват, че тези тракери не събират данни, които да разкрият реалната самоличност на потребителите. Те събират сборни статистически данни с цел подобряването на продукта. Освен това, потребителите могат да ги изключат като отидат на настройките за поверителността в приложението.

5 3 гласа
Оценете статията
Абонирай се
Извести ме за
guest
2 Коментара
стари
нови оценка
Отзиви
Всички коментари