Λίγες ημέρες μετά την ανακοίνωση της περιορισμένης λειτουργικότητας στην δωρεάν της έκδοση - η γνωστή εφαρμογή διαχείρισης password, LastPass- βρίσκεται στο στόχαστρο για την ύπαρξη 7 web trackers στην εφαρμογή για Android.
Αναλυτικά η έκθεση αναφέρει:
Ο αναλυτής Mike Kuketz, συστήνει στους χρήστες να μεταφερθούν σε κάποιον άλλο password manager.LastPass Android: Third-party providers monitor every step
LastPass is a widely used password manager. The app has over 10 million installations in the Google Play Store alone. With Exodus Privacy , I briefly checked whether the app contains known tracker signatures. A total of seven trackers were found :
AppsFlyer
Google Analytics
Google CrashLytics
Google Firebase Analytics
Google Tag Manager
MixPanel
segment
For an app that processes extremely sensitive data (passwords), this is simply an indictment. Advertising and analytics modules simply have no place in this - it is completely out of the question to integrate them into password manager apps. Or to put it in general terms: no proprietary and non-transparent third-party code may be integrated into apps in which sensitive data is processed . Which data these modules collect and transmit to the third-party providers is sometimes not even known to the app developers themselves, who integrate these modules into their apps.
Even if the result of Exodus Privacy suggests, only an analysis of the network traffic is really meaningful. With Exodus Privacy we can only say: Yes, the corresponding tracking code or the tracker is available. With Exodus Privacy, however, no statement can be made as to whether this is actively tracking - the app must be checked manually for this.
Below I've done this with the Android version of LastPass (version 4.11.18.6150). The results are shortened to relevant events.
App start: Immediately after the start (no user interaction)
[1] Immediately after starting the app, it contacts almost all tracking providers that Exodus Privacy discovered during its analysis:
Google Firebase Analytics (firebaseinstallations.googleapis.com)
Segment (cdn-settings.segment.com)
Google CrashLytics (firebase-settings.crashlytics.com)
AppsFlyer (inapps.appsflyer.com)
Mixpanel (api.mixpanel.com)
Google Analytics (ssl.google-analytics.com)
In tracker bingo someone would probably call out:
The user is not even asked whether he or she agrees to the data transfer to the third party provider.
Πηγή : Kuketz Security στα Γερμανικά
Gpogle Translate στα Αγγλικά εδώ
Εμφάνιση 1-15 από 68
-
26-02-21, 19:55 Σύσταση μη χρήσης του LastPass, λόγω της ενσωμάτωσης web trackers σε αυτό #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.848
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
26-02-21, 20:59 Απάντηση: Σύσταση μη χρήσης του LastPass, λόγω της ενσωμάτωσης web trackers σε αυτό #2
Bitwarden ftw
-
26-02-21, 21:40 Re: Σύσταση μη χρήσης του LastPass, λόγω της ενσωμάτωσης web trackers σε αυτό #3
Προσωπικά τα έχω αποθηκευμένα στον συγχρονισμό firefox χωρίς ενδιάμεσο πρόγραμμα δηλαδή. Ότι αποθηκεύω στο PC είναι διαθέσιμο και στο κινητό άμεσα.
Όχι ότι του Firefox είναι άτρωτο αλλά κάτι πρέπει να χρησιμοποιηθεί.Όσο περισσότερο σου κλέβουν τη ζωή, τόσο σε ταΐζουν με έθνος και φυλή..
Εθνικισμός και μετανάστες
Μία τάξη, φυλετικά διαχωρισμένη
-
26-02-21, 21:45 Απάντηση: Σύσταση μη χρήσης του LastPass, λόγω της ενσωμάτωσης web trackers σε αυτό #4
έχετε να προτείνετε κάποιο εναλλακτικό ; έτσι κ αλλιώς τώρα απο 16 του μήνα θα παίζει μόνο σε μια συσκευή και όχι σε όλες.... πχ επιλέγεις αν θα ειναι pc ή τηλέφωνο κτλπ
...
-
26-02-21, 21:56 Απάντηση: Σύσταση μη χρήσης του LastPass, λόγω της ενσωμάτωσης web trackers σε αυτό #5
-
26-02-21, 21:59 Re: Απάντηση: Σύσταση μη χρήσης του LastPass, λόγω της ενσωμάτωσης web trackers σε αυτό #6Όσο περισσότερο σου κλέβουν τη ζωή, τόσο σε ταΐζουν με έθνος και φυλή..
Εθνικισμός και μετανάστες
Μία τάξη, φυλετικά διαχωρισμένη
-
26-02-21, 22:04 Απάντηση: Σύσταση μη χρήσης του LastPass, λόγω της ενσωμάτωσης web trackers σε αυτό #7
-
26-02-21, 23:45 Απάντηση: Σύσταση μη χρήσης του LastPass, λόγω της ενσωμάτωσης web trackers σε αυτό #8
Keepass και από εμένα. Το δουλεύουμε επαγγελματικά αρκετά χρόνια τώρα χωρίς το παραμικρό πρόβλημα ασφάλειας.
-
27-02-21, 00:53 Απάντηση: Σύσταση μη χρήσης του LastPass, λόγω της ενσωμάτωσης web trackers σε αυτό #9
Bitwarden
-
27-02-21, 01:33 Απάντηση: Σύσταση μη χρήσης του LastPass, λόγω της ενσωμάτωσης web trackers σε αυτό #10
Οι browsers έχουν πλέον δικούς τους ενσωματωμένους password managers. Αυτό που δεν έχω βρει απάντηση ακόμα είναι αν τα passwords αποθηκεύονται σε plaintext στους servers τους ή όχι.
-
27-02-21, 01:42 Απάντηση: Σύσταση μη χρήσης του LastPass, λόγω της ενσωμάτωσης web trackers σε αυτό #11
Εκεί πρέπει να εμπιστευτείς την κάθε εταιρεία. Ο Firefox σου δίνει πάντως τη δυνατότητα να στήσεις τον server σε δικό σου σύστημα:
https://github.com/mozilla-services/syncserver
+1. Σε συνδυασμό με το Syncthing με έχει βολέψει πολύ.- Κάνετε τη δουλειά σας γρήγορα, αξιόπιστα, με ασφάλεια, χωρίς τεχνητούς περιορισμούς και δωρεάν με το Linux.
- Οι δίσκοι χαλάνε! Σκεφτείτε τα αρχεία σας πριν την πατήσετε. Κάνετε τακτικά backup.
-
27-02-21, 01:50 Απάντηση: Σύσταση μη χρήσης του LastPass, λόγω της ενσωμάτωσης web trackers σε αυτό #12
Απότι διάβασα τελικά ο FF τα αποθηκεύει τα passwords encrypted
https://support.mozilla.org/en-US/kb...aves-passwords
Θεωρώ ότι και οι υπόλοιποι browsers κάνουν κάτι αντίστοιχο.
Σίγουρα όποιον password manager επιλέξεις, είτε ενσωματωμένου browser είτε ξεχωριστό, εμπιστεύεσαι αναγκαστικά ότι είναι στημένο σωστά και δεν έχει security holes.
Πάντως δε βλέπω τα lastpass, 1password κλπ να προσφέρουν κάτι παραπάνω από πλευράς ασφάλειας σε σχέση με τους browsers, πέρα από το ότι έχουν κάποιες επιπλέον βοηθητικές λειτουργίες.
-
27-02-21, 02:17 Απάντηση: Σύσταση μη χρήσης του LastPass, λόγω της ενσωμάτωσης web trackers σε αυτό #13
-
27-02-21, 02:20 Re: Απάντηση: Σύσταση μη χρήσης του LastPass, λόγω της ενσωμάτωσης web trackers σε αυτό #14
Παίρνω το post σου ως βάση, γιατί είναι κάτι που το κάνουν πολλοί γνωστοί μου.
Δεν βρισκόμαστε στο 1960 να σημειώνουμε στα τεφτέρια...
Το γεγονός πως η πλειονότητα του κόσμου χρησιμοποιεί μη ασφαλή/ανενημέρωτα λειτουργικά, δεν σημαίνει πως "τίποτα δεν είναι ασφαλές".
Υπάρχουν σοβαρά* λειτουργικά συστήματα (GNU/linux, FreeBSD) και σοβαροί*, open source password managers (keepass) να επιλέξει όποιος σέβεται την ασφάλεια και το privacy του.
Και στην τελική, τι να το κάνεις το χαρτί και το στυλό, αν στο σύστημα έχει εγκατασταθεί keylogger ή αν το free wifi δίκτυο στο οποίο συνδέθηκες χωρίς vpn, παρακολουθείται; Τζάμπα ταλαιπωρία για 'σένα, αφού η ζημιά θα γίνει όπως και να 'χει.
Με τον όρο σοβαρό, αναφέρομαι στη διαχείριση τέτοιων δεδομένων.Dealing with pricks, is my speciality.
Linux all the way.
Open source all the way.
Fighting against telemetry, data harvesting, tracking, ads all the way.
For some people, ignorance is bliss.
-
27-02-21, 02:29 Απάντηση: Re: Απάντηση: Σύσταση μη χρήσης του LastPass, λόγω της ενσωμάτωσης web trackers σε αυτό #15
Keepass και keepass droid απο εμένα. Και ΠΟΤΕ συγχρονισμός online. Το password file είναι local και μόνο local.
Bookmarks