- Lid geworden
- 12 apr 2013
- Berichten
- 25.778
- Waarderingsscore
- 1.403
De Androidversie van wachtwoordmanager LastPass bevat alle trackers, waaronder meerdere van Google. Dat ontdekte beveiligingsonderzoeker Mike Kuketz nadat hij de app door het Exodus-platform liet controleren. Exodus is een "privacy-auditplatform" voor Android-applicaties. De controle leverde in totaal zeven trackers op: AppsFlyer, Google Analytics, Google CrashLytics, Google Firebase Analytics, Google Tag Manager, MixPanel en segment.
Volgens Kuketz horen dergelijk trackers niet thuis in een wachtwoordmanager die zeer gevoelige informatie verwerkt. "Welke gegevens deze modules verzamelen en naar derde partijen versturen zijn soms voor zelfs de app-ontwikkelaars, die de modules aan hun apps toevoegen, niet duidelijk", aldus de onderzoeker over de aanwezige trackers.
Kuketz stelt dat de trackers data versturen zonder dat gebruikers om toestemming wordt gevraagd. Het tracken vindt ook tijdens het gebruik van de app plaats. "Zelfs als de trackers geen contentdata ontvangen, volgen ze de gebruiker nog steeds overal wanneer die LastPass gebruikt en ontvangen daarbij metadata." Het gaat dan bijvoorbeeld om informatie over een nieuw wachtwoord, adres of bankrekening, verschillende user-ID's en informatie over het gebruikte apparaat.
De onderzoeker concludeert dat de huidige Androidversie van LastPass waarschijnlijk in strijd met de AVG is. Daarnaast noemt hij de aanpak van het bedrijf wat security betreft "zeer twijfelachtig". Andere wachtwoordmanagers zoals 1Password en KeePass bevatten volgens de scan van Exodus geen trackers. In wachtwoordmanager Bitwarden worden twee trackers gevonden, terwijl wachtwoordkluis Dashlane er vier telt.
In een reactie tegenover The Register laat LastPass weten dat er geen gevoelige persoonlijke identificeerbare data of gegevens van de wachtwoordkluis naar de trackers worden verstuurd. De trackers verzamelen alleen "beperkte statistische data" over het gebruik van LastPass wat het bedrijf gebruikt om het product te verbeteren, aldus een woordvoerder. LastPass kwam onlangs nog in het nieuws omdat het het gebruik van de gratis versie gaat beperken tot één type apparaat.
Bron Security.nl
Volgens Kuketz horen dergelijk trackers niet thuis in een wachtwoordmanager die zeer gevoelige informatie verwerkt. "Welke gegevens deze modules verzamelen en naar derde partijen versturen zijn soms voor zelfs de app-ontwikkelaars, die de modules aan hun apps toevoegen, niet duidelijk", aldus de onderzoeker over de aanwezige trackers.
Kuketz stelt dat de trackers data versturen zonder dat gebruikers om toestemming wordt gevraagd. Het tracken vindt ook tijdens het gebruik van de app plaats. "Zelfs als de trackers geen contentdata ontvangen, volgen ze de gebruiker nog steeds overal wanneer die LastPass gebruikt en ontvangen daarbij metadata." Het gaat dan bijvoorbeeld om informatie over een nieuw wachtwoord, adres of bankrekening, verschillende user-ID's en informatie over het gebruikte apparaat.
De onderzoeker concludeert dat de huidige Androidversie van LastPass waarschijnlijk in strijd met de AVG is. Daarnaast noemt hij de aanpak van het bedrijf wat security betreft "zeer twijfelachtig". Andere wachtwoordmanagers zoals 1Password en KeePass bevatten volgens de scan van Exodus geen trackers. In wachtwoordmanager Bitwarden worden twee trackers gevonden, terwijl wachtwoordkluis Dashlane er vier telt.
In een reactie tegenover The Register laat LastPass weten dat er geen gevoelige persoonlijke identificeerbare data of gegevens van de wachtwoordkluis naar de trackers worden verstuurd. De trackers verzamelen alleen "beperkte statistische data" over het gebruik van LastPass wat het bedrijf gebruikt om het product te verbeteren, aldus een woordvoerder. LastPass kwam onlangs nog in het nieuws omdat het het gebruik van de gratis versie gaat beperken tot één type apparaat.
Bron Security.nl
