安全研究人員在LastPass當中發現7個跟蹤器後建議不要使用這款應用

據The Register報道,一位安全研究人員Kuketz在LastPass密碼管理器應用中發現的7個追蹤器後,建議不要使用LastPass密碼管理器。雖然沒有暗示這些追蹤器正在轉移用戶的實際密碼或用戶名,但是對於一個處理此類敏感信息的安全關鍵型應用來說,追蹤器的存在是不好的做法。

針對該報道,LastPass的發言人表示,該公司收集有限的數據,這些數據是LastPass的使用情況,以幫助其改進和優化產品。重要的是,LastPass告訴The Register,沒有任何敏感的個人身份用戶數據或活動可以通過這些跟蹤器傳遞,用戶可以在高級設置菜單的隱私部分選擇退出分析。

LastPass的追蹤器包括來自谷歌的4個追蹤器,處理分析和碰撞報告,還有一個來自一家名為Segment的公司,據說它為營銷團隊收集數據。Kuketz分析了正在傳輸的數據,發現其中包括智能手機的品牌和型號信息,以及用戶是否啟用了生物識別安全功能的信息。Kuketz稱,即使傳輸的數據不是個人身份信息,但僅僅是在第一時間整合了這些第三方代碼,就引入了安全漏洞的可能性。

LastPass並不是唯一一個包含這樣跟蹤器的密碼管理器,但它似乎比許多流行的競爭對手更多。根據Exodus Privacy的數據,免費替代產品Bitwarden只有兩個,而RoboForm和Dashlane有四個,1Password則沒有。該報告是在LastPass宣布嚴格限制其免費層的功能之後發布的。雖然免費用戶目前可以無限制地跨設備存儲無限數量的密碼,但很快他們就必須選擇一類設備來查看和管理密碼,即手機或電腦,除非他們想為這項服務付費。這些變化將於3月16日生效。

安全研究人員在LastPass當中發現7個跟蹤器後建議不要使用這款應用

來源:cnBeta