کشف ۷ ابزار ردیابی در نسخه اندروید اپ LastPass: محقق امنیتی هشدار داد

یک محقق امنیتی پس از کشف هفت ابزار ردیابی در نسخه اندرویدی اپلیکیشن LastPass، نسبت به استفاده از این برنامه مدیریت پسورد هشدار داد.

به گزارش The Register، یک محقق امنیتی با نام Mike Kuketz پس از تحلیل نسخه اندروید اپلیکیشن مدیریت رمز عبور LastPass، از کشف ۷ ابزار ردیابی در آن خبر داد. به گفته او با اینکه کشف این ردیاب‌ها لزوماً به معنی انتقال نام کاربری یا رمز عبور کاربران نیست، استفاده از آن‌ها در اپلیکیشنی مثل LastPass که با اطلاعات حساس سر و کار دارد، سیاست نادرستی بوده است.

LastPass در واکنش به این خبر اعلام کرد که این شرکت تنها به جمع‌آوری مقدار محدودی داده «درباره چگونگی استفاده از LastPass» به منظور «بهینه‌سازی و ارتقاء» اپ می‌پردازد. این شرکت اضافه می‌کند که «هیچ گونه از داده‌های قابل شناسایی کاربران یا فعالیت‌های مخزن ذخیره پسورد را به ردیاب‌ها ارسال نمی‌کند» و کاربران می‌توانند از قسمت Privacy در منوی Advanced Settings عضویت در برنامه آنالیتیک ردیابی را لغو کنند.

از این هفت ابزار ردیابی، چهار مورد متعلق به گوگل است که مسائل مربوط به آنالیتیک و گزارش کرش برنامه را مدیریت می‌کنند. یکی از ابزارها نیز متعلق به شرکتی به نام Segment است که بر اساس برخی گزارش‌ها، داده‌های کاربران را برای تیم‌های مارکتینگ جمع‌آوری می‌کند. لیست ردیاب ها را در ادامه ملاحظه می‌کنید:

• AppsFlyer
• Google Analytics
• Google CrashLytics
• Google Firebase Analytics
• Google Tag Manager
• MixPanel
• segment

Kuketz با تحلیل داده‌های در حال انتقال متوجه شد که شامل اطلاعات مربوط به سازنده موبایل و مدل آن و همچنین فعال بودن یا نبودن سیستم امنیتی بیومتریک می‌شوند. به گفته این محقق امنیتی، حتی اگر از روی این داده‌ها نتوان هویت کاربر را تشخیص داد، استفاده از کدهای شخص ثالث احتمال بوجود آمدن آسیب‌پذیری های امنیتی را افزایش می‌دهد.

Mike Kuketz در قسمتی از گزارش خود می‌نویسد: «اگر از LastPass استفاده می‌کنید، توصیه می‌کنم از برنامه مدیریت پسورد دیگری استفاده کنید. راهکارهای دیگری وجود دارند که به طور همیشگی داده‌ها را به شرکت‌های شخص ثالث ارسال نکرده و رفتار کاربر را ذخیره نمی‌کنند.»