Sete rastreadores e oito permissões suspeitas foram encontrados no LasPass, um aplicativo de gerenciamento de senhas com mais de 10 milhões de downloads no Google Play Store.
- Conversas do Clubhouse foram vazadas em reprodutor do app para outras plataformas
- Canadá considera ilegal coleta e venda de dados de reconhecimento facial por empresa dos EUA
- Spotify quer monitorar voz dos usuários para oferecer 'conteúdos relevantes'
Os rastreadores foram encontrados pelo pesquisador de segurança alemão, Mike Kuketz, através da plataforma de auditoria de privacidade para aplicativos Android, o Exodus Privacy. Segundo o pesquisador, uma vez que o LastPass é inicializado no Android, ele imediatamente se comunica com os rastreadores e começa a enviar metadados.
Rastreadores são softwares que coletam dados de uso e comportamento para otimizar anúncios direcionados, individualmente, para cada usuário. Já as permissões são ações e dados que o aplicativo está autorizado a coletar ou acessar de seu usuário e possuem a mesma finalidade dos rastreadores.
Para o pesquisador, o LastPass é um aplicativo que processa dados extremamente confidenciais, como senhas. A presença de sete rastreadores, além de 36 permissões de ação e coleta de dados dos usuários "é uma acusação e está completamente fora de questão".
Os rastreadores
A plataforma Exodus Privacy detectou 7 rastreadores, sendo que 4 são do Google. São eles:
- AppsFlyer
- Google Analytics
- Google CrashLytics
- Google Firebase Analytics
- Google Tag Manager
- MixPanel
- Segment
Já as permissões são 36 no total, sendo que oito destas foram consideradas "perigosas" pelo Exodus Privacy. As permissões autorizam que o aplicativo: acesse a localização, informações de Wi-fi e conectividade, acessibilidade, contas, Near Field Communication (NFC), arquivos armazenados internamente, status de telefone, grave áudios, rode ao inicializar, colete credenciais, modifique arquivos armazenados internamente, colete endereço de IP, resolução da tela, fuso horário, Google Advertising ID, informações do provedor de rede e internet, entre outros.
"Nenhum código proprietário e intransparente de terceiros pode ser integrado em aplicativos nos quais dados confidenciais são processados. Os dados que esses rastreadores coletam e transmitem para os provedores de terceiros às vezes nem são conhecidos pelos próprios desenvolvedores do aplicativo", escreve Mike em um post em seu blog Kuketz IT-Security.
É importante lebrar que algumas dessas permissões são configuradas de fábrica, ou seja, o aplicativo não pergunta para o usuário se ele concorda em liberar o acesso do app a determinados dados.
De acordo com o Exodus Privacy, a maioria dos aplicativos de gerenciamento de senhas possui entre 1 e 2 rastreadores. No entanto, há diversas opções disponíveis sem nenhum rastreador, como o 1Password, o SFR Password e o Password Bank. Na lista do Exodus, o LastPass é o único com sete rastreadores.
Em um comunicado à imprensa, o LastPass informa que permite que seus usuários desativem os rastreadores, nas configurações do aplicativo.
"Estamos revisando continuamente nossos processos existentes e trabalhando para torná-los melhores para cumprir e superar os requisitos dos padrões de proteção de dados aplicáveis", conclui um porta-voz do LastPass.
Fontes: Mike Muketz; Exodus Privacy; The Register.