Ứng dụng quản lý mật khẩu LastPass trên Android chứa đến 7 trình theo dõi từ bên thứ ba

LastPass là ứng dụng lưu trữ mật khẩu nổi tiếng có hàng triệu lượt tải về trên các cửa hàng trực tuyến của Google và Apple.

Nhắc đến bảo mật tài khoản, việc sử dụng trình quản lý mật khẩu được xem là ý tưởng hay. Song, điều gì sẽ xảy ra nếu ứng dụng đó đang theo dõi những gì người dùng làm và âm thầm thu thập dữ liệu mà họ không hề hay biết?

Nhà nghiên cứu bảo mật Mike Kuketz mới đây cho hay ứng dụng LastPass trên Android đang có 7 trình theo dõi nhúng và có thể chính LastPass cũng không biết họ đang thu thập dữ liệu.

Theo The Register, đã sử dụng các công cụ từ Exodus Privacy để kiểm tra ứng dụng LastPass trên Android và phát hiện ra 7 trình theo dõi được nhúng bên trong mã ứng dụng, bao gồm AppsFlyer, Google Analytics, Google CrashLytics, Google Firebase Analytics, Google Tag Manager, MixPanel và Segment, một nền tảng dữ liệu khách hàng giúp thu thập, làm sạch và tùy chỉnh dữ liệu.

Mặc dù Exodus Privacy phát hiện ra sự hiện diện của các trình theo dõi, điều đó không có nghĩa rằng chúng sẽ gây bất lợi cho người dùng. Kuketz đã thử lại bằng cách tạo một tài khoản LastPass mới. Qua đó, anh nhận ra ứng dụng đã tiếp cận gần hết mọi máy chủ của trình theo dõi mà không cần xin phép trước.

Kiểm tra thêm không cho thấy các trình theo dõi chuyển bất kỳ dữ liệu tên người dùng hay mật khẩu về máy chủ lưu trữ, nhưng nó lại biết khi nào người dùng tạo mật khẩu và cho ứng dụng nào. Kuketz nói rằng việc nhúng mã theo dõi trong trình quản lý mật khẩu (hoặc ứng dụng tập trung vào bảo mật tương tự) là không thể chấp nhận được, vì các nhà phát triển không thể nhận thức đầy đủ về những gì mã theo dõi thu thập. Đó là bởi vì các trình theo dõi thường sử dụng mã độc quyền không được mở để kiểm tra.

Lượng dữ liệu lớn có thể tiết lộ thông tin về thiết bị đang được sử dụng, nhà cung cấp dịch vụ điện thoại di động, loại tài khoản LastPass và ID quảng cáo Google của người dùng (được sử dụng để kết nối dữ liệu về người dùng trên các ứng dụng). Số dữ liệu đó đã đủ xây dựng một hồ sơ mở rộng về thông tin riêng tư mà ứng dụng lưu trữ.

Theo Exodus Privacy, một số trình quản lý mật khẩu khác vẫn sử dụng trình theo dõi. Bitwarden có hai, RoboForm và Dashlane có bốn, và 1Password không có cái nào. Riêng LastPass là có đến 7 trình theo dõi và câu hỏi được đặt ra rằng vì sao ứng dụng lại có nhiều đến thế.

Trong một tuyên bố với The Register, đại diện phát ngôn của LastPass cho biết, "… không có dữ liệu nhận dạng cá nhân nhạy cảm nào của người dùng hoặc hoạt động vault bị rò rỉ qua các trình theo dõi này".

Người này cũng nói thêm phía người dùng có thể chọn không tham gia chính sách thu thập dữ liệu trong menu cài đặt. Tuy nhiên, giữa báo cáo này và thay đổi gần đây của LastPass khiến người dùng miễn phí buộc lựa chọn giữa đồng bộ hóa trên máy tính để bàn hay thiết bị di động, có thể đã đến lúc chuyển sang một phương án thay thế khác như Bitwarden hoặc 1Password.

Ngọc Diệp