Agence web » Actualités du digital » L’application LastPass Android contient 7 trackers de sociétés tierces 😬 –

L’application LastPass Android contient 7 trackers de sociétés tierces 😬 –

LastPass sur trois téléphones Android
Dernier passage

En ce qui concerne la sécurité des comptes, l’utilisation d’un gestionnaire de mots de passe est généralement une bonne idée. Mais que se passe-t-il si ce gestionnaire de mots de passe suit ce que vous faites et ne vous le dit même pas? Selon le chercheur en sécurité Mike Kuketz, l’application LastPass Android dispose de sept trackers intégrés et LastPass peut ne pas savoir quelles données ils collectent.

Comme repéré pour la première fois par The Register, Kuketz a utilisé des outils d’Exodus Privacy pour examiner l’application LastPass Android et a découvert sept trackers intégrés dans son code:

  • AppsFlyer
  • Google Analytics
  • Google CrashLytics
  • Google Firebase Analytics
  • Gestionnaire de balises Google
  • MixPanel
  • segment

Bien qu’Exodus Privacy confirme la présence de trackers, cela ne garantit pas qu’ils fassent quoi que ce soit. Kuketz a donc suivi la surveillance du réseau tout en créant un nouveau compte LastPass. Il a découvert que l’application atteignait presque tous les serveurs de traqueur sans demander la permission au préalable.

Une inspection plus approfondie ne suggère pas que les trackers ont transféré des données de nom d’utilisateur ou de mot de passe, mais il semble savoir quand l’utilisateur crée un mot de passe et quel type. Kuketz dit que l’inclusion d’un code de suivi de ce type dans un gestionnaire de mots de passe (ou une application similaire axée sur la sécurité) n’est pas acceptable, car les développeurs ne peuvent pas être pleinement conscients de ce que le code de suivi recueille. C’est parce que les trackers utilisent souvent du code propriétaire qui n’est pas ouvert à l’inspection.

La quantité de données semble être importante, révélant des informations sur l’appareil utilisé, l’opérateur de téléphonie mobile, le type de compte LastPass et l’identifiant publicitaire Google de l’utilisateur (utilisé pour connecter des données sur l’utilisateur entre les applications). C’est assez de données pour créer un profil complet autour des informations les plus privées que vous stockez.

Selon Exodus Privacy, les autres gestionnaires de mots de passe n’utilisent pas autant de trackers. Bitwarden en a deux, RoboForm et Dashlane en ont quatre et 1Password n’en a pas. Pourquoi LastPass en utilise autant n’est pas clair.

Dans une déclaration adressée à The Register, un porte-parole de LastPass a déclaré: «… aucune donnée utilisateur sensible personnellement identifiable ou activité de coffre-fort ne peut être transmise via ces trackers. Le porte-parole a poursuivi en disant que vous pouvez désactiver l’analyse dans le menu des paramètres. Pourtant, entre ce rapport et la récente modification apportée par LastPass pour forcer les utilisateurs de niveau gratuit à choisir entre la synchronisation de bureau et mobile, il est peut-être temps de passer à une autre alternative comme Bitwarden ou 1Password.

via le registre

★★★★★