前二周才先因缩减免费授权的适用设备范围而引发抱怨的密钥管理服务LastPass,又被研究人员发现使用了高达7个第三方关注程序。
德国博客Mike Kuketz引述非营利安全研究组织Exodus Privacy一项针对市面上主要密码管理器的研究发现,Android版LastPass 4.11.18.6150版内置7个第三方厂商提供的资料搜集程序。不过LastPass说用户可以退出。
这7个程序包括Google 4款程序(Analytics、CrashLytics、Firebase Analytics、Tag Manager)、以及AppsFlyer、MixPanel、Segment的技术。许多程序是用于营销广告部门“用户的单一全方位视角”,以了解用户在不同平台上的使用行为和线上足迹。
Kuketz也分析网络流量,调查这些程序发送了什么信息,他发现,这些信息包含用户用了什么设备、电信商、LastPass账号类型、以及Google Advertising ID(可用于分析用户不同App的使用资料),而在App使用期间,这些资料也能显示用户添加密码,以及密码形态。
虽然Kuketz尚未发现有用户密码或用户名被传出去,但他指出,LastPass这类处理密码等敏感信息的App不应该包含这些关注程序,因为广告和分析模块在这里并没有用,集成在密码管理器上完全不合理。事实上,LastPass这类处理敏感信息的服务,根本不应该藏有私人不透明的第三方程式代码。但LastPass Android App完全没有明显的声明告知,只能借由人工检查才会发现这些程序代码,而且也未提供退出选项(opt-out)。
其他密码管理器中,Exodus Privacy研究人员并未在1Pass及KeePass发现第三方关注程序代码。此外开源密码管理器Bitwarden包含Google Firebase及微软Visual Studio宕机报告程序。免费的Dashlane则有4款。
Kuketz建议用户转换到开源密码管理器如KeePass。
不过LastPass对The Register指出,这些关注程序并未搜集任何敏感的个人识别信息或使用活动信息,只会搜集有限的匿名统计信息,旨在用于改善LastPass的产品设计。LastPass也指出用户的确可以通过“隐私设置区”下“高端设置”“隐私”来退出资料搜集,同时也会持续评估,以符合资料隐私要求。
LastPass上个月中变更免费版政策,引起用户哗然。从3月16日起免费版将只能选择访问行动或计算机设备,无法同时访问两种设备,而从3月17日起,免费版用户也不再有电子邮件技术支持服务。