Ứng dụng LastPass bị phát hiện có chứa 7 trình theo dõi
Mới đây, một nhà nghiên cứu bảo mật người Đức đã phát hiện ứng dụng LastPass trên Android có chứa 7 trình theo dõi, có thể được sử dụng để tạo quảng cáo nhắm mục tiêu.
LastPass là một trong những ứng dụng quản lý mật khẩu khá phổ biến hiện nay với hơn 10 triệu lượt cài đặt (chỉ tính riêng trên Google Play).
Theo nhà nghiên cứu bảo mật Mike Kuketz, ngay khi bạn vừa mở ứng dụng LastPass trên Android, sáu trong số bảy trình theo dõi sẽ được kích hoạt thậm chí trước khi người dùng tương tác với ứng dụng. “Không phải lúc nào người dùng cũng được hỏi liệu họ có đồng ý để dữ liệu của họ được gửi đến các nhà cung cấp của bên thứ ba hay không”, anh nói thêm.
Danh sách bảy trình theo dõi bên trong ứng dụng LastPass:
- AppsFlyer
- Google Analytics
- Google CrashLytics
- Google Firebase Analytics
- Google Tag Manager
- MixPixel
- Segment
Mặc dù các trình theo dõi không thu thập các dữ liệu nhạy cảm như mật khẩu nhưng chúng theo dõi gần như mọi thứ khác.
Cụ thể, dữ liệu được theo dõi bao gồm thời điểm mật khẩu được tạo, loại tài khoản mà người dùng đang tạo, chẳng hạn như hồ sơ mạng xã hội, tài khoản ngân hàng, thẻ tín dụng, địa chỉ IP, vị trí hiện tại của người dùng… Không có cách nào để ngừng bị theo dõi ngoài việc gỡ cài đặt LastPass.
Trên iOS, ứng dụng LastPass cũng theo dõi vị trí của người dùng, dữ liệu sử dụng, thông tin liên hệ… Tất cả những thông tin này đều có thể được sử dụng hoặc bán lại cho các công ty quảng cáo của bên thứ ba.
Trang The Register cũng chỉ ra rằng LastPass không phải là trình quản lý mật khẩu duy nhất hiện nay có chứa trình theo dõi. Bitwarden và Dashlane đều chứa các trình theo dõi, tương ứng là hai và bốn. Tuy nhiên, đối thủ của LastPass là 1Password và KeePass (mã nguồn mở) hoàn toàn không có trình theo dõi.
Người phát ngôn của LastPass thừa nhận với The Register rằng mặc dù các trình theo dõi tồn tại, nhưng không có dữ liệu nhận dạng cá nhân của người dùng hoặc mật khẩu được thu thập thông qua các trình theo dõi. Họ tuyên bố rằng các trình theo dõi chỉ thu thập dữ liệu thống kê tổng hợp, được sử dụng để cải thiện sản phẩm.
Thông tin này được đưa ra vào thời điểm tương đối nhạy cảm. Vào ngày 16-3 tới đây, LastPass sẽ giới hạn đối với các tài khoản miễn phí, chỉ cho phép người dùng sử dụng trên một thiết bị duy nhất (điện thoại hoặc máy tính). Ngoài ra, việc hỗ trợ qua email cũng sẽ không còn đối với các tài khoản miễn phí.
Nhiều người dùng LastPass đã bắt đầu tẩy chay ứng dụng và chuyển sang sử dụng các phần mềm khác.
Nguồn: [Link nguồn]
Mới đây, công ty an ninh mạng Proofpoint đã phát hành một bản báo cáo phân tích các kỹ thuật tấn công thường được tin...