Исследователь информационной безопасности Майк Кукетц после подробного изучения наличия трекеров рекомендует не использовать менеджер паролей LastPass. В приложении для Android было обнаружено семь встроенных инструментов слежки. Хотя нет каких-либо предположений, что трекеры передают логины или пароли, их наличие, по словам эксперта, является плохой практикой.
В своем ответе на отчет представитель LastPass сообщил, что компания собирает обезличенные данные о том, как используется приложение. Это якобы необходимо для улучшения и оптимизации продукта. Он также отметил, что эти трекеры не могут передавать конфиденциальные данные пользователей или их действия в хранилище. Помимо этого, имеется возможность отказаться от аналитики в разделе «Конфиденциальность», который находится в «Дополнительных настройках».
В число трекеров LastPass входят четыре инструмента от Google, обрабатывающие аналитику и отчеты о сбоях, а также один от компании Segment, которая, как сообщается, собирает данные для маркетинговых команд. Кукетц проанализировал передаваемые данные и обнаружил, что они содержат информацию о марке и модели смартфона, а также о том, включена ли у пользователя биометрическая защита. По словам эксперта, даже если передаваемые данные обезличены, простая интеграция стороннего кода в работу трекеров создаёт потенциальные уязвимости в системе безопасности.
«Если вы используете LastPass, то я рекомендую сменить менеджер паролей. Существуют решения, которые не отправляют данные третьим лицам на постоянной основе и регистрируют поведение пользователей», — заявил Кукетц.
LastPass — не единственный менеджер паролей, который содержит трекеры, но, похоже, у него под капотом их больше, чем у конкурентов. К примеру у бесплатной альтернативы Bitwarden их только два, у RoboForm и Dashlane — четыре, а у 1Password вовсе отсутствуют инструменты слежки.
Отчет был опубликован после заявления LastPass об ограничении функциональности бесплатных учетных записей. Напомним, 16 марта вступают в силу изменения, в рамках которых пользователи смогут использовать этот менеджер паролей только на одном типе устройств, например, на ПК или на мобильных устройствах.
