安全研究人员建议在其中找到七个跟踪器后不使用LastPass密码管理器。
LastPass有七个追踪器
根据边缘,安全研究人员Mike Kuketz发现了LastPass密码管理器应用程序的跟踪器,尽管这些跟踪器并不建议转移任何用户的个人详细信息(例如其名称和密码),但它们的存在是处理敏感信息的此类应用程序的“不良练习”。
寄存器这是第一个报告新闻的消息,他说库克兹能够通过Exodus提供的分析来发现跟踪器。
Exodus将自己描述为“由黑客主义者(其目的)领导的非营利组织是帮助人们更好地了解Android应用程序跟踪问题。”
根据该报告,Android密码管理器应用程序中发现的七个跟踪器包括来自Google的四个跟踪器,该跟踪器用于分析和崩溃报告,而其他三个则来自Mixpanel,Appsflyer和segment。
代码的集成可能会导致安全缺陷
看来,这些跟踪器可用于根据其在线活动的定制广告来帮助概括了LastPass应用程序的用户,这是如今的常见做法。
通过出埃及记报告,Kuketz分析了七个追踪器,发现它们包括智能手机的品牌和型号,以及有关该设备是否启用其生物识别安全性的信息。
但是,没有证据表明跟踪器提供任何可以识别LastPass用户的东西。
但是,根据网络安全研究人员的说法,第三方代码本身的整合已经很危险,因为它具有可能用于收集您隐藏的敏感信息的安全漏洞。
此外,正如Kuketz指出的那样,似乎应用程序开发人员本身并不了解收集和传输给这些第三方提供商的数据类型。
“实际上,您实际使用LastPass,建议更改密码管理器,” Kuketz按The Verge写道。 “有些解决方案不会永久将数据发送给第三方并记录用户行为。”
追踪器比竞争对手更多
看来,LastPass并不是唯一包含跟踪器的密码管理器,但基于报告,它比市场上流行的竞争对手的跟踪器更多,例如免费的密码管理器应用程序Bitwarden只有两个和1Password,却没有。
同时,Dashlane和Roboform也是LastPass的替代方案,具有四个跟踪器。
LastPass具有免费的和高级层,但是它的许多用户目前正在使用免费版本,尽管最近它已经成为头条新闻,因为该公司已决定将功能限制在其免费层上,这使许多用户感到失望。
例如,用户应该能够在应用程序上的设备上存储无限数量的密码,但是如果更改在3月16日完全生效,他们将不得不从“移动”和“计算机”之间选择一种类别的设备来查看和管理密码,除非他们希望为其全方位服务付费。
本文由技术时报拥有
撰写者:NHX Tingson
