安全研究人员的详细介绍在Android应用中,发现有7个跟踪器后,建议对LastPass的密码管理器的注册报告。尽管没有暗示研究人员Mike Kuketz分析过的跟踪器正在传送用户的实际密码或用户名,但Kuketz表示,对于处理此类敏感信息的安全性至关重要的应用程序,跟踪器的存在是一种不好的做法。
对此报告的回应,LastPass的发言人表示,该公司收集了有关“ LastPass的使用方式”的有限数据,以帮助其“改善和优化产品”。重要的是,LastPass告诉The Register,“无法通过这些跟踪器传递任何敏感的个人身份用户数据或保管库活动”,并且用户可以在“高级设置”菜单的“隐私”部分中选择退出分析。
LastPass的跟踪器包括来自Google的四个跟踪器,用于处理分析和崩溃报告,以及来自一家名为Segment的公司的跟踪器,该公司据称为营销团队收集数据。库克兹分析了正在传输的数据,发现其中包含有关智能手机的品牌和型号的信息,以及有关用户是否启用了生物识别安全性的信息。根据Kuketz的说法,即使传输的数据不是个人可识别的,仅将这些第三方代码集成在一起也可能带来安全漏洞的可能性。
“如果您实际使用LastPass,我建议您更改密码管理器,” Kuketz写道(通过机器翻译)。“有些解决方案不能将数据永久发送给第三方并记录用户的行为。”
LastPass并不是唯一包含这样的跟踪器的密码管理器,但它似乎比许多流行的竞争对手都多。根据Exodus Privacy的规定,免费的替代品Bitwarden只有两个,而RoboForm和Dashlane有四个,而1Password没有。
该报告紧随LastPass宣布要严格限制其免费套餐的功能之后。尽管免费用户目前可以在设备之间无限制地存储无限数量的密码,但是除非他们要付费,否则很快他们将不得不选择一类设备来查看和管理其在“移动”或“计算机”上的密码。服务。更改将于3月16日生效。