Хакер #305. Многошаговые SQL-инъекции
Немецкий ИБ-эксперт Майк Кукетц (Mike Kuketz) заметил, что в приложении LastPass для Android работают семь трекеров, которые наблюдают за пользователями.
Свои выводы исследователь строит на отчете некоммерческой организации Exodus, которая описывается как инициатива «возглавляемая хактивистами, цель которой — помочь людям понять проблемы слежения в Android-приложениях».
В менеджере паролей было найдено семь трекеров, в том числе четыре от Google, собирающих данные в аналитических целях и для отчетов о сбоях, а также от AppsFlyer, MixPanel и Segment. К примеру, последний собирает информацию для маркетинговых команд, а его разработчики пишут, что инструмент предлагает составить «единое представление о клиенте», профилируя пользователей и связывая воедино их действия на разных платформах (предположительно для персонализации рекламы).
Кукетц полагает, что таким образом разработчики LastPass стремятся монетизировать огромное количество бесплатных пользователей своего приложения. При этом исследователь предупреждает, что зачастую разработчики приложений вообще не знают, какие данные собирают трекеры и что передают третьим сторонам. В итоге интеграция в приложение чужого проприетарного кода может быть опасна и может привести к утечке данных. По мнению эксперта, подобным трекерам вообще не место в менеджере паролей, чья безопасность крайне важна.
По данным эксперта, LastPass передает на сторону сведения об используемом устройстве, операторе связи, типе учетной записи LastPass, рекламном идентификаторе Google (который может использоваться для связывания данных о пользователе из разных приложений). Кроме того, трекеры «знают» когда пользователь создает новые пароли и какого они типа.
В итоге Кукетц приходит к выводу, что вместо LastPass лучше использовать другие парольные менеджеры, к примеру, опенсорсный KeePass. Дело в том, что, согласно Exodus, ни в коде KeePass, ни в коде 1Password трекеров нет вовсе. В коде опенсорсного Bitwarden можно обнаружить два «маячка»: аналитический Google Firebase и отчеты о сбоях Microsoft Visual Studio, а в коде Dashlane было найдено четыре.
Представители LastPass уже заверили СМИ, что с помощью обнаруженных трекеров нельзя передавать конфиденциальные данные пользователей, и их хранилище тоже в безопасности. Подчеркивается, что трекеры собирают лишь статистическую информацию об использовании приложения, которая используется для улучшения и оптимизации продукта. К тому же отказаться от сбора аналитики можно в настройках.