Это очень плохо для приложения, которое обрабатывает конфиденциальные данные, считает он; компания-разработчик же настаивает на том, что собирает не персональные данные, а только агрегированную статистику.
Немецкий специалист по кибербезопасности Майк Кукетц проверил менеджер паролей LastPass на наличие трекеров и при помощи Exodus Privacy обнаружил в нём семь модулей:
• AppsFlyer
• Google Analytics
• Google CrashLytics
• Google Firebase Analytics
• Google Tag Manager
• MixPanel
• Segment
Для приложения, которое обрабатывает конфиденциальные данные (пароли), это очень плохо, считает Кукетц. По его словам, модулям рекламы и аналитики здесь не должно быть места: никакой закрытый и непрозрачный внешний код не должен интегрироваться в подобные приложения. Ведь, какие данные эти трекеры собирают и передают сторонним поставщикам, иногда не знают и сами разработчики этих сервисов.
Кукетц запустил приложение LastPass и посмотрел, что передают трекеры. В своём блоге он пишет, что, например, MixPanel отправил название производителя устройства, версию Android, номер модели, идентификатор устройства, тип учётной записи LastPass и информацию о включении биометрического логина и функции автозаполнения. AppsFlyer помимо большей части этого списка отослал ещё название оператора сотовой сети, Android-идентификатор рекламы и некий идентификатор пользователя. Некоторые из трекеров безобидны, но тот же идентификатор объявлений Android можно использовать для отслеживания местоположения, говорят исследователи. Segment, допустим, собирает данные для маркетологов и предлагает «единое представление о клиенте», предположительно для персонализированной рекламы.
« Никакие персональные данные пользователей или информация о их деятельности не могут быть переданы через эти трекеры. Они собирают ограниченные агрегированные статистические данные о том, как вы используете LastPass. Такие сведения помогают нам улучшить и оптимизировать продукт» , — ответили на разбор исследователя в LastPass.
Кукетц отметил, что отказаться от сбора данных в приложении нельзя. Однако в LastPass заявили, что это можно сделать в настройках конфиденциальности, где надо отключить « отслеживание истории входа в систему и заполнение форм и « отправление анонимных данных отчётов об ошибках, чтобы помочь улучшить LastPass» . Две эти строки активны по умолчанию.
По данным Exodus, не все менеджеры паролей содержат трекеры. В 1Password и KeePass их нет. Но в Bitwarden их два — Google Firebase (аналитика) и Microsoft Visual Studio (отчёты об аварийном заверении работы). В Dashlane есть четыре трекера.
Узнавайте первыми о главных новостях в нашем канале в Telegram!
