یک محقق امنیتی پس از کشف هفت ابزار ردیابی در نسخه اندرویدی اپلیکیشن LastPass، نسبت به استفاده از این برنامه مدیریت پسورد هشدار داد.
گروه IT: یک محقق امنیتی پس از کشف هفت ابزار ردیابی در نسخه اندرویدی اپلیکیشن LastPass، نسبت به استفاده از این برنامه مدیریت پسورد هشدار داد.
به گزارش بولتن نیوز به نقل از دیجیاتو، به گزارش The Register، یک محقق امنیتی با نام
Mike Kuketz پس از تحلیل نسخه اندروید اپلیکیشن مدیریت رمز عبور LastPass، از کشف ۷ ابزار ردیابی در آن خبر داد. به گفته او با اینکه کشف این ردیابها لزوماً به معنی انتقال نام کاربری یا رمز عبور کاربران نیست، استفاده از آنها در اپلیکیشنی مثل LastPass که با اطلاعات حساس سر و کار دارد، سیاست نادرستی بوده است.
LastPass در واکنش به این خبر اعلام کرد که این شرکت تنها به جمعآوری مقدار محدودی داده «درباره چگونگی استفاده از LastPass» به منظور «بهینهسازی و ارتقاء» اپ میپردازد. این شرکت اضافه میکند که «هیچ گونه از دادههای قابل شناسایی کاربران یا فعالیتهای مخزن ذخیره پسورد را به ردیابها ارسال نمیکند» و کاربران میتوانند از قسمت Privacy در منوی Advanced Settings عضویت در برنامه آنالیتیک ردیابی را لغو کنند.
از این هفت ابزار ردیابی، چهار مورد متعلق به گوگل است که مسائل مربوط به آنالیتیک و گزارش کرش برنامه را مدیریت میکنند. یکی از ابزارها نیز متعلق به شرکتی به نام Segment است که بر اساس برخی گزارشها، دادههای کاربران را برای تیمهای مارکتینگ جمعآوری میکند. لیست ردیاب ها را در ادامه ملاحظه میکنید:
AppsFlyer
Google Analytics
Google CrashLytics
Google Firebase Analytics
Google Tag Manager
MixPanel
segment
Kuketz با تحلیل دادههای در حال انتقال متوجه شد که شامل اطلاعات مربوط به سازنده موبایل و مدل آن و همچنین فعال بودن یا نبودن سیستم امنیتی بیومتریک میشوند. به گفته این محقق امنیتی، حتی اگر از روی این دادهها نتوان هویت کاربر را تشخیص داد، استفاده از کدهای شخص ثالث احتمال بوجود آمدن آسیبپذیری های امنیتی را افزایش میدهد.
Mike Kuketz در قسمتی از گزارش خود مینویسد: «اگر از LastPass استفاده میکنید، توصیه میکنم از برنامه مدیریت پسورد دیگری استفاده کنید. راهکارهای دیگری وجود دارند که به طور همیشگی دادهها را به شرکتهای شخص ثالث ارسال نکرده و رفتار کاربر را ذخیره نمیکنند.»