Cảnh báo: Trình quản lý mật khẩu LastPass cho Android có bảy trình theo dõi tích hợp

Trong một cuộc điều tra mở rộng được thực hiện bởi một công ty bảo mật của Đức, Exodus, ứng dụng quản lý mật khẩu phổ biến LastPass đã bị phát hiện thu thập và gửi thông tin cá nhân của những người đăng ký sử dụng ứng dụng Android. Nó làm như vậy với sự trợ giúp của bảy trình theo dõi tích hợp sẵn khác nhau.

Mới đây, LastPass - trình quản lý mật khẩu đã bị chỉ trích khi sử dụng bảy trình theo dõi phân tích và quảng cáo tích hợp để thu thập dữ liệu khác nhau

Nhà nghiên cứu người Đức Mike Kuketz là người đã phát hiện vấn đề này. Ông nhận thấy rằng việc các ứng dụng xử lý dữ liệu nhạy cảm để tích hợp các trình theo dõi quảng cáo và phân tích là hoàn toàn không thể chấp nhận được.

Sử dụng Exodus - một nền tảng kiểm tra quyền riêng tư cho các ứng dụng Android, ông Kuketz nhận thấy rằng một khi ứng dụng Android của LastPass được khởi động, nó sẽ liên hệ ngay với các nhà cung cấp dịch vụ theo dõi. Ứng dụng này tích hợp 07 mô đun theo dõi quảng cáo và phân tích bao gồm: Google Firebase Analytics, Segment, Google CrashLytics, AppsFlyer, Mixpanel và Google Analytics. Thậm chí, chúng có thể được kích hoạt trước khi người dùng tương tác với ứng dụng.

Thông tin được thu thập bao gồm: địa chỉ IP của thiết bị, độ phân giải màn hình, múi giờ, ID quảng cáo của Google, thông tin về nhà cung cấp dịch vụ, cũng như ID tạo một lần của người dùng. Trong khi ứng dụng hoạt động, nó truyền siêu dữ liệu về các mật khẩu mới được tạo và đó là loại mật khẩu nào. Tuy nhiên, trình theo dõi không thu thập bất kỳ dữ liệu nội dung, không thu thập các dữ liệu nhạy cảm như mật khẩu của người dùng, nhưng chúng theo dõi gần như mọi thao tác được thực hiện trên điện thoại của họ.

Đáng chú ý, người dùng không nhận được yêu cầu cho phép một số dữ liệu của họ được truyền đến các nhà cung cấp bên thứ ba, và ông Kuketz đã chỉ trích ứng dụng này không cho phép người dùng tùy chọn không tham gia thu thập dữ liệu. Tuy nhiên, phát ngôn viên của LastPass cho biết rằng ứng dụng có cung cấp lựa chọn này.

Theo phát ngôn viên của LastPass, tất cả người dùng của LastPass, bất kể trình duyệt hay thiết bị, đều được cung cấp tùy chọn không tham gia phân tích trong Cài đặt quyền riêng tư LastPass. Tùy chọn này có tại đường dẫn: Cài đặt tài khoản > Hiển thị cài đặt nâng cao > Quyền riêng tư (Account Settings > Show Advanced Settings > Privacy).

LastPass đang tiếp tục xem xét các quy trình hiện có và thực hiện những điều cần thiết để tuân thủ tốt hơn, thậm chí vượt trên các yêu cầu hiện tại về các tiêu chuẩn bảo vệ dữ liệu của ứng dụng. Công ty cũng đã đưa ra tuyên bố về Cam kết của LastPass về Quyền riêng tư và Trải nghiệm Người dùng.

Người phát ngôn cũng đảm bảo rằng không có thông tin nhận dạng cá nhân nhạy cảm nào của người dùng hoặc hoạt động quản lý mật khẩu bị rò rỉ qua trình theo dõi, đồng thời nói thêm rằng trình theo dõi chỉ thu thập dữ liệu thống kê tổng hợp về việc sử dụng ứng dụng, sau đó được sử dụng để tối ưu hóa và cải thiện LastPass.