LastPass er navnet på en av de mest populære tjenestene for passordhåndtering på nettet, men nå har sikkerhetsforskere funnet et potensielt problem med tjenesten. Det melder The Register.
Sikkerhetsforskere har oppdaget sporingsprogramvare, såkalte «trackers», innebygget i LastPass-tjenesten. Funnene ble omtalt hos organisasjonen Exodus, som jobber spesifikt med sporing i Android-applikasjoner.
Fant syv trackere
Trackere er altså kode som brukes til å samle inn data om brukeren og hvordan man bruker enhetene, for eksempel i diagnose-, analyse- og annonseøyemed.
_logo.svg.png){kind=logo}
Den tyske sikkerhetsforskeren Mike Kuketz gjennomførte en analyse av LastPass og fant til sammen syv innebygde trackere, hvorav de fleste tilhører Google.
– For en app som prosesserer sensitive data (passord) er dette simpelthen klanderverdig. Annonserings- og analysemoduler har ingen plass her – det er helt uhørt å integrere dem inn i passordhåndteringsapper, skriver Kuketz.
De syv trackerne er som følger:
- AppsFlyer
- Google Analytics
- Google CrashLytics
- Google Firebase Analytics
- Google Tag Manager
- MixPanel
- Segment
Av disse er det ifølge Kuketz kun Google Analytics som omtales som tredjepartspartner i app-beskrivelsen i Google Play, og ingen av de øvrige er nevnt.
Forskeren skriver at kommunikasjonen med samtlige av tracker-tilbyderne begynner umiddelbart når LastPass-appen starter opp, og sporingen fortsetter kontinuerlig mens appen benyttes.
Kuketz peker på at trackerne har personvernrelaterte implikasjoner selv om de ikke samler inn innholdsdata, ved at de følger hver handling som brukeren foretar i LastPass, som inkluderer metadata knyttet til for eksempel opprettelse av nye passord. Brukerne bes heller ikke om samtykke til dataoverføringen sier Kuketz.
– Ingen brukerdata samles inn
Et par av trackerne har dessuten funksjonalitet utover analyse og krasjrapportering. Segment samler for eksempel inn data om brukere til markedsføring og profilering, som man kan se av programvarens hjemmeside. MixPanel på sin side brukes til annonsering og markedsføring ved å spore brukernes interaksjon med web- og mobilapplikasjoner.
En talsperson for LastPass avviser at trackerne er problematiske.
– Ingen sensitive, personlig identifiserbare brukerdata fanges opp av disse trackerne. De samler inn begrensede statistiske data om hvordan du bruker LastPass, som brukes til å forbedre og optimalisere produktet, sa talspersonen til The Register.
Talspersonen peker også på at brukerne kan deaktivere analyseverktøyene i innstillingsmenyen i appen.
Blant de andre, populære passordhåndteringstjenestene har verken 1password eller KeePass trackere innebygget i programvaren sin, ifølge Exodus' egne analyser.
Lastpass gjør endringer på gratistjenesten for å tjene mer penger
