Read, hack, repeat

Sete rastreadores foram encontrados no app de gestão de senhas LastPass

Guilherme Petry

Sete rastreadores e oito permissões suspeitas foram encontrados no LasPass, um aplicativo de gerenciamento de senhas com mais de 10 milhões de downloads no Google Play Store.

Os rastreadores foram encontrados pelo pesquisador de segurança alemão, Mike Kuketz, através da plataforma de auditoria de privacidade para aplicativos Android, o Exodus Privacy. Segundo o pesquisador, uma vez que o LastPass é inicializado no Android, ele imediatamente se comunica com os rastreadores e começa a enviar metadados.

Rastreadores são softwares que coletam dados de uso e comportamento para otimizar anúncios direcionados, individualmente, para cada usuário. Já as permissões são ações e dados que o aplicativo está autorizado a coletar ou acessar de seu usuário e possuem a mesma finalidade dos rastreadores.

Para o pesquisador, o LastPass é um aplicativo que processa dados extremamente confidenciais, como senhas. A presença de sete rastreadores, além de 36 permissões de ação e coleta de dados dos usuários "é uma acusação e está completamente fora de questão".

Os rastreadores

A plataforma Exodus Privacy detectou 7 rastreadores, sendo que 4 são do Google. São eles:

  • AppsFlyer
  • Google Analytics
  • Google CrashLytics
  • Google Firebase Analytics
  • Google Tag Manager
  • MixPanel
  • Segment

Já as permissões são 36 no total, sendo que oito destas foram consideradas "perigosas" pelo Exodus Privacy. As permissões autorizam que o aplicativo: acesse a localização, informações de Wi-fi e conectividade, acessibilidade, contas, Near Field Communication (NFC), arquivos armazenados internamente, status de telefone, grave áudios, rode ao inicializar, colete credenciais, modifique arquivos armazenados internamente, colete endereço de IP, resolução da tela, fuso horário, Google Advertising ID, informações do provedor de rede e internet, entre outros.

"Nenhum código proprietário e intransparente de terceiros pode ser integrado em aplicativos nos quais dados confidenciais são processados. Os dados que esses rastreadores coletam e transmitem para os provedores de terceiros às vezes nem são conhecidos pelos próprios desenvolvedores do aplicativo", escreve Mike em um post em seu blog Kuketz IT-Security.

É importante lebrar que algumas dessas permissões são configuradas de fábrica, ou seja, o aplicativo não pergunta para o usuário se ele concorda em liberar o acesso do app a determinados dados.

De acordo com o Exodus Privacy, a maioria dos aplicativos de gerenciamento de senhas possui entre 1 e 2 rastreadores. No entanto, há diversas opções disponíveis sem nenhum rastreador, como o 1Password, o SFR Password e o Password Bank. Na lista do Exodus, o LastPass é o único com sete rastreadores.

Em um comunicado à imprensa, o LastPass informa que permite que seus usuários desativem os rastreadores, nas configurações do aplicativo.

"Estamos revisando continuamente nossos processos existentes e trabalhando para torná-los melhores para cumprir e superar os requisitos dos padrões de proteção de dados aplicáveis", conclui um porta-voz do LastPass.


Fontes: Mike Muketz; Exodus Privacy; The Register.

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.