安全研究人员的详细介绍在Android应用中,发现有7个跟踪器后,建议对LastPass的密码管理器的注册报告。尽管没有暗示研究人员Mike Kuketz分析过的跟踪器正在传送用户的实际密码或用户名,但Kuketz表示,对于处理此类敏感信息的安全性至关重要的应用程序,跟踪器的存在是一种不好的做法。
对此报告的回应,LastPass的一位发言人说,该公司收集了有关“ LastPass的使用方式”的有限数据,以帮助其“改善和优化产品”。重要的是,LastPass告诉The Register,“任何敏感的个人身份用户数据或保险库活动都不能通过这些跟踪器传递。”他们补充说,用户可以选择退出分析。发言人说,在LastPass Web界面上,该选项位于LastPass隐私设置中,可通过“帐户设置>显示高级设置>隐私”进行访问。
LastPass的跟踪器包括来自Google的四个跟踪器,用于处理分析和崩溃报告,以及来自一家名为Segment的公司的跟踪器,该公司据称为营销团队收集数据。库克兹分析了正在传输的数据,发现其中包含有关智能手机的品牌和型号的信息,以及有关用户是否启用了生物识别安全性的信息。根据Kuketz的说法,即使传输的数据不是个人可识别的,仅将这些第三方代码集成在一起也可能带来安全漏洞的可能性。
“如果您实际使用LastPass,我建议您更改密码管理器,” Kuketz写道(通过机器翻译)。“有些解决方案不能将数据永久发送给第三方并记录用户的行为。”
LastPass并不是唯一包含这样的跟踪器的密码管理器,但它似乎比许多流行的竞争对手都多。根据Exodus Privacy的规定,免费的替代品Bitwarden只有两个,而RoboForm和Dashlane有四个,而1Password没有。
该报告紧随LastPass宣布要严格限制其免费套餐的功能之后。尽管免费用户目前能够在设备之间无限制地存储无限数量的密码,但是除非他们要付费,否则他们很快将不得不选择一种设备来查看和管理他们在“移动”或“计算机”上的密码。