LastPass för Android innehåller 7 tredjepartsspårare Tidigare versioner hade mer

urkopplad

FörbiBrian Burgess

Senast uppdaterad den27 februari 2021

Fler dåliga nyheter för LastPass-användare. En säkerhetsforskare analyserade LastPass-appen för Android och upptäckte att den innehåller sju olika inbäddade spårare. Registret rapporterade först det Mike Kuketz använde verktyg från Exodus Privacy för att hitta appen med spårare. Dessutom är tidigare versioner av appen 11 inbäddade spårare, flera från Facebook.

LastPass Tredjepartsspårare

Exodus sekretess är en ideell organisation som leds av ”hacktivists” i syfte att hjälpa Android-användare att få en bättre förståelse för appspårningsproblem. De Exodusrapport hittade följande sju inbäddade spårare i LastPass för Android:

• AppsFlyer
• Google Analytics
• Google CrashLytics
• Google Firebase Analytics
• Google Tag Manager
• MixPanel
• Segmentet

Fyra av spårarna är från Google och är avsedda för rapportering av appkraschanalys och ditt Google-annonsörs-ID. Andra, som Segment eller AppsFlyer, är utformade för profilering och marknadsföring till användare över olika plattformar. Enkelt uttryckt används de för att skapa en digital användarprofil och rikta in annonser baserat på användarnas beteende och intressen.

Medan spårarna var inbäddade fanns det ingen garanti för att de ringde hem. Men Kuketz fortsatte sin forskning med nätverksövervakning och upptäckte att appen nått ut till nästan alla trackers servrar utan att först begära användarnas tillstånd.

Så här fungerar trackers för de flesta gratisappar och hur företag och andra apputvecklare kan tjäna pengar på produkten. Detta kan låta rimligt för ett gratis spel som Angry Birds (eller vilken app som helst som är varm idag). Eller till och med för användare av den kostnadsfria versionen av LastPass. När allt kommer omkring måste företaget tjäna pengar på något sätt. Men eftersom spårarna är inbäddade i appen spåras även Premium LastPass-användare och deras beteende genereras.

Det är viktigt att notera att spårare inte överför några användarnamn eller lösenordsdata. Men de verkar veta när du skapar ett lösenord och vilken typ. Den information som avslöjas för spårningsföretagen kan inkludera din enhetstyp, mobiloperatör, typ av LastPass-konto (gratis eller betalt) och ditt Google Advertising ID.

Det brukade vara mer

Vad som är ännu mer oroande är att företagets app innehåller 11 spårare i tidigare versioner. Enligt en granskning av appen, skapad 2019 av Exodus, för LastPass version 4.11.4576 visar den spårare från Facebook, Google och andra. Du kan se den rapporten här.

Så det ser ut som att appen under de senaste åren har dunkat Facebook-trackers och är nu nere på bara sju.

LastPass obekväma svar

En LastPass-talesman berättade The Register: ”Ingen känslig personligt identifierbar användardata eller valvaktivitet kunde skickas via dessa spårare. Dessa trackers samlar in begränsade aggregerade statistiska data om hur du använder LastPass som används för att hjälpa oss att förbättra och optimera produkten. ”

Talsmannen fortsatte med att säga: ”Alla LastPass-användare, oavsett webbläsare eller enhet, får möjlighet att välja bort dessa analys i deras LastPass sekretessinställningar, som finns i deras konto här: Kontoinställningar> Visa avancerade inställningar> Integritet."

Men jag försökte gå till den platsen i appen och hittade ingenstans att välja bort. Jag letade efter inställningarna för LastPass-appen och jag kunde inte hitta någonstans att välja bort.

Jag gick sedan till min dator och använde tillägget för att logga in på mitt Arkiv. Där hittade jag en plats i Kontoinställningar> Visa avancerade inställningar> Sekretess. Jag kunde avmarkera alternativen "Spåra historik" och "Hjälp till att förbättra LastPass".

Detta väljer du dock inte bort spårare från tredje part när du använder appen. Jag kunde inte heller hitta ett borttagningsavsnitt i iOS-appen.

LastPass är inte ensam

För att vara rättvis är det viktigt att notera att LastPass inte är den enda lösenordshanteraren som använder inbäddade spårare i sina appar. Enligt Exodus Privacy inkluderar andra lösenordshanterare med spårare:

• Bitwarden har två trackers
• MYKI har två trackers
• LogMeOnce har tre trackers
• Dashlane har fyra trackers
• RoboForm har fyra trackers
• NordPass har fyra trackers

Det bästa visas för Openass-källan Keepass med noll- spårare. Och för en prenumerationstjänst är vinnaren 1Lösenord som innehåller inga spårare i sin Android-app heller. Självklart har det alltid varit en betald tjänst och aldrig erbjudit en gratis nivå.

Gör din egen appgranskning

Du kan hitta dessa inbäddade appspårare själv genom att använda Exodus sekretessverktyg för Android och kör den på din telefon. Jag körde den på en gammal OnePlus 6T med LastPass-appen installerad.

Detta verktyg är ett bra sätt att ta reda på vilka andra installerade appar på din Android-telefon som spårar ditt onlinebeteende.

Vad sägs om iOS?

Apple håller sitt mobila operativsystem tätt kontrollerat och det finns inget Exodus-sekretessverktyg för det. Du kan dock hitta lite vag information om potentiella spårningsproblem om du läser iOS-appens så kallade sekretess- "nutrition" -etikett.

Summering

Anledningen till att LastPass (som ägs av LogMeIn) innehåller mycket fler spårare än andra lösenordshanterare är inte klart. Naturligtvis måste man titta på det cyniskt och anta att företaget bara vill tjäna pengar hur det än går. Även om du betalar för Premium-versionen till $ 36 / år är trackers där.

Efter Kuketzs forskning är hans råd att inte använda LastPass. Detta eftersom, enligt hans åsikt, närvaron av spårare visar en suboptimal inställning till säkerhet.

Den här nyheten kommer på hälarna av LastPass-fria användare som är upprörda över enhetsbegränsningar som kommer den 16 mars^th. Gratisanvändare måste välja antingen mobil eller stationär för att se och hantera lösenord. Gratis användare tappar också e-poststöd. Att använda en lösenordshanterare är avgörande för bästa internetsäkerhetspraxis. Lyckligtvis finns det alternativ till LastPass. Du kanske vill flytta från LastPass till Bitwarden eller en betald tjänst som 1Lösenord.

Oavsett vilken tjänst du flyttar för att se till att du exportera först ditt LastPass-lösenordsvalv. Sedan när dina lösenord har importerats säkert till din nya tjänst kan du fortsätta och ta bort ditt LastPass-konto.

Jag sträckte mig fram till LastPass och väntar på svar. Den här artikeln kommer att uppdateras med eventuell ny utveckling.

erbjudanden

Prismatchning i butik: Hur får man onlinepriser när du handlar i butiken

Att köpa i butiken betyder inte att du måste betala högre priser. Tack vare prismatchningsgarantier kan du få rabatter online när du handlar i ...

Hur

Hur man presenterar ett Disney Plus-abonnemang med ett digitalt presentkort

Om du har njutit av Disney Plus och vill dela det med andra, här köper du ett Disney + Present-abonnemang för ...

Hur

Din guide för att dela dokument i Google Dokument, Kalkylark och Presentationer

Du kan enkelt samarbeta med Googles webbaserade appar. Här är din guide för delning i Google Dokument, Kalkylark och Presentationer med behörigheterna ...