知名安全软件翻车？免费功能变收费后，又被曝疑似收集用户数据传给广告公司

互联网时代，密码的安全问题愈发受到重视。

出于安全考虑，在多个网络服务中使用相同的密码是很不明智的做法。

这样一来，往往要管理的密码数量会超出我们能记住密码的能力，而安全的复杂密码尤其难以记住。

于是，密码管理工具对于大多数用户来说都是必不可少的。

如今，密码管理软件市场的竞争日益激烈。

括苹果和微软，也都先后加入开发此类工具的行列，以方便用户的跨平台使用。

但对于大部分用户来说，首选的还是那些著名的老牌密码管理器。

其中，LastPass就是Chrome应用商店里用户数最多，综合评价最好的全平台密码管理器。

公开资料显示，其已经拥有2000多万个人用户及7万余家企业用户。

一方面，LastPass使用方便，用户只需记住一个主密码，就能保存其他平台的密码并自动输入。

另一方面，LastPass支持iOS、Android、Windows、MacOS等跨平台无缝同步。

同时，LastPass一直以来也都以安全、加密级别高而知名。

据称，该软件LastPass内部也无法获取用户的帐号密码信息，用户的数据都只对自己开放。

然而近期，这款多年来都保持着良好口碑的密码管理工具，也疑似大翻车了。

近日，名为Kuketz和Exodus的两个安全研究团队分析发现，LastPass中内置了7种不同的追踪器，可能是用来收集并发送用户个人数据的。

研究人员称，即使LastPass允许用户选择自行关闭这些追踪器，但其依然可能会给用户带来安全风险。

报告中显示，这7种追踪器中，有4个是来自谷歌的追踪器。

包括Google Analytics、Google CrashLytics等。

这4个追踪器尚且正常，主要是用来收集客户端软件的使用情况，以及处理崩溃日志和分析报告等，广泛用于市面上的软件和网络服务中。

但是，其他3个追踪器就大有文章了。

根据分析报告，这3个追踪器会分别向AppsFlyer，MixPanel和Segment提供信息。

其中，AppsFlyer是一个旨在帮助营销人员做出决策的数据分析平台，涵盖的业务包括广告合作伙伴对接、广告优化等。

MixPanel也与前者类似，是一家数据跟踪和分析公司，允许开发者跟踪各种用户行为。

而报告中最令人关注的，就是最后一个来自于Segment的追踪器了。

资料显示，Segment是一家据称专门为营销团队收集数据的公司。

它会对收集来的用户数据进行分析，为客户提供量身定制的营销广告。

此外，报告还揭示了LastPass在手机客户端需要用户开启的权限。

包括但不限于手机设备品牌型号、生物识别开关状态、精确地理位置、读取SD卡中的内容、录制音频等等。

Kuketz称，对于处理极其敏感的数据（密码）的软件来说，LastPass本身并没有广告模块，所以内置这些追踪器完全是没有道理的。

当然，也不排除可能连LastPass的开发人员也不知道这些追踪器在给第三方营销公司传输数据。

无论是出于哪种原因，Kuketz都表示，当前的LastPass不仅可能违反了GDPR，而且其在密码保护的安全性方面也极为可疑。

因为早在几年前，便陆续有安全人员发现LastPass中的漏洞，并差点导致数据泄露。

该报告一经传出，就在网上迅速引起争议。

许多LastPass用户称，自己在使用这款工具的时候，并没有收到相关授权提示——询问用户是否同意向第三方传输数据。

因此，他们认为自己受到了欺骗。

很快，LastPass的发言人也作出了回应。

其表示，内置的所有跟踪器都是用于改善用户体验的，并承诺不会发送敏感的用户信息。如果用户不想在手机上使用这些跟踪器，可以转到应用程序的“隐私”子菜单来禁用它们。

但这一说法并没有被太多人买单，因为另外一些知名的密码管理工具中并没有这些追踪器。

对密码管理器产品来说，使用如此多的追踪器确实是令人难以理解的。

何况，这些追踪器本身也可能遭到攻击而导致用户信息泄露。

值得一提的是，从本月起，LastPass还开始限制其免费的跨平台同步服务。

此前，用户可免费使用LastPass的多平台同步密码的功能。

政策调整之后，现在的免费用户就只有在电脑端或移动端进行选择了。

若免费用户想要继续使用LastPass的跨平台服务的话，则需要支付会员费。

因此，如今已有大量用户放弃了这款密码管理器。

不过仍需要注意，Bitwarden、RoboForm和Dashlane等密码管理器此前也被曝光过含有多款追踪器。

当然，并非所有带追踪器的密码管理工具都无法使用。理论上说，只要追踪器没有发送用户隐私信息，就是没问题的。

 

---

本文为公众号【扩展迷Extfans】原创

关注我们，阅读更多精彩内容

▽▽▽

原文始发于微信公众号（扩展迷EXTFANS）：知名安全软件翻车？免费功能变收费后，又被曝疑似收集用户数据传给广告公司