➊ TL;DR(太长了,不想读)
第三方跟踪器集成在app内部,有权限访问app内的任何数据。跟踪器的网络通信暴露了更多攻击面,其安全漏洞、内部坏员工,被黑客入侵,都可能威胁到用户存储的密码安全。
近期德国安全研究员 Mike Kuketz
发表了一篇博客 LastPass安卓版:第三方模块会监控每一步(LastPass Android: Drittanbieter überwachen jeden Schritt)指出:Lastpass内置了7个跟踪器,会跟踪用户操作的每一步,甚至连注册LastPass账号的操作(注册事件相关信息,不包括密码)也会发送给第三方跟踪器。博客一发表,立即引发了大量讨论,Google搜索已经有超过28万条结果:
国内知名大号扩展迷Extfans
在 知名安全软件翻车?免费功能变收费后,又被曝疑似收集用户数据传给广告公司 进一步讨论了这些追踪器,指出 AppsFlyer
,MixPanel
和Segment
这几个跟踪器会大量收集用户数据用于大数据营销。
LastPass官方回应:
没有敏感的个人数据和加密数据库可以被这些跟踪器获取。这些跟踪器只收集使用LastPass时有限的统计数据。该数据用于帮助我们改进和优化产品。
(No sensitive personally identifiable user data or vault activity could be passed through these trackers. These trackers collect limited aggregated statistical data about how you use LastPass which is used to help us improve and optimize the product.)
很高兴看到越来越多的研究,越来越多的用户开始关注密码管理器的安全问题。
密码管理器作为安全产品,管理用户所有密码