Se encontraron siete rastreadores y ocho permisos sospechosos en LasPass, una aplicación de gestión de contraseñas con más de 10 millones de descargas en Google Play Store.
Los rastreadores fueron encontrados por el investigador de seguridad alemán Mike Kuketz, a través de la plataforma de auditoría de privacidad para aplicaciones de Android, Exodus Privacy. Según el investigador, una vez que LastPass se inicia en Android, se comunica inmediatamente con los rastreadores y comienza a enviar metadatos.
Los rastreadores son software que recopilan datos de uso y comportamiento. para optimizar anuncios orientados, individualmente, para cada usuario. Los permisos son acciones y datos que la aplicación está autorizada a recopilar o acceder de su usuario y sirven para el mismo propósito que los rastreadores.
Para el investigador, LastPass es una aplicación que procesa datos extremadamente sensibles, como contraseñas. La presencia de siete rastreadores, además de 36 permisos de acción del usuario y recopilación de datos “es una acusación y está completamente fuera de discusión“.
Los rastreadores
La plataforma Exodus Privacy detectó 7 rastreadores, 4 de los cuales son de Google. Son ellos:
- AppsFlyer
- Google analitico
- Google CrashLytics
- Google Firebase Analytics
- Administrador de etiquetas de Google
- MixPanel
- Segmento
Hay 36 permisos en total, ocho de los cuales fueron considerados “peligrosos” por Exodus Privacy. Los permisos permiten a la aplicación: acceder a la ubicación, información de conectividad y Wi-Fi, accesibilidad, cuentas, Comunicación de campo cercano (NFC), archivos almacenados internamente, estado del teléfono, grabación de audios, ejecución al inicio, recopilación de credenciales, modificación de archivos almacenados internamente, recopilación de dirección IP, resolución de pantalla, zona horaria, ID de publicidad de Google, información del proveedor de red y de Internet, entre otros.
“No se puede integrar ningún código de terceros patentado e intransparente en aplicaciones donde se procesan datos confidenciales. Los datos que estos rastreadores recopilan y transmiten a proveedores externos a veces ni siquiera son conocidos por los desarrolladores de la aplicación “, escribe Mike en una publicación en su blog Kuketz IT-Security.
Es importante recordar que algunos de estos permisos se establecen en la fábrica, es decir, la aplicación no pregunta al usuario si acepta otorgarle acceso a determinados datos.
Según Exodus Privacy, la mayoría de las aplicaciones de gestión de contraseñas tienen entre 1 y 2 rastreadores. Sin embargo, hay varias opciones disponibles sin un rastreador, como 1Password, SFR Password y Password Bank. En la lista de Éxodo, LastPass es el único con siete rastreadores.
En un comunicado de prensa, LastPass informa que permite a sus usuarios desactivar los rastreadores, en la configuración de la aplicación.
“Estamos revisando continuamente nuestros procesos existentes y trabajando para mejorarlos a la hora de cumplir y superar los requisitos de los estándares de protección de datos aplicables”, concluye un portavoz de LastPass.
Fuentes: Mike Muketz; Privacidad de Exodus; El registro.
See the original post at: https://thehack.com.br/sete-rastreadores-foram-encontrados-no-app-de-gestao-de-senhas-lastpass/?rand=48889
