Ứng dụng nổi tiếng trên Android bị phát hiện theo dõi người dùng
Không chỉ người dùng Android, người dùng iPhone cũng bị ứng dụng này theo dõi và thu thập thông tin.
The Verge đưa tin, nhà nghiên cứu bảo mật người Đức có tên Mike Kuketz đã phát hiện một ứng dụng có hơn 25 triệu người sử dụng (9/2020) đã bí mật theo dõi người dùng.
Cụ thể, nhà nghiên cứu bảo mật Mike Kuketz đã phát hiện LastPass - một trong những ứng dụng quản lý mật khẩu khá phổ biến hiện nay với hơn 25 triệu người sử dụng - đã sử dụng 7 trình theo dõi để thu thập thông tin người dùng.
Theo nhà nghiên cứu bảo mật, ngay khi bạn vừa mở ứng dụng LastPass trên Android, 6 trong số 7 trình theo dõi sẽ được kích hoạt. Thậm chí, chúng có thể được kích hoạt trước cả khi người dùng tương tác với ứng dụng.
“Không phải lúc nào người dùng cũng được hỏi liệu họ có đồng ý để các nhà cung cấp của bên thứ ba thu thập dữ liệu của mình hay không”, nhà nghiên cứu bảo mật Mike Kuketz cho biết.
Danh sách 7 trình theo dõi được tích hợp bên trong ứng dụng LastPass bao gồm: 1. AppsFlyer; 2. Google Analytics; 3. Google CrashLytics; 4. Google Firebase Analytics; 5. Google Tag Manager; 6. MixPixel; 7. Segment.
Theo Mike Kuketz, mặc dù các trình theo dõi này không thu thập các dữ liệu nhạy cảm, như mật khẩu của người dùng chẳng hạn, nhưng chúng theo dõi gần như mọi thứ được thực hiện trên điện thoại của người sử dụng.
Các thông tin bị theo dõi bao gồm: Thời điểm mật khẩu được tạo; loại tài khoản mà người dùng đang tạo, chẳng hạn như hồ sơ mạng xã hội; tài khoản ngân hàng; thẻ tín dụng; địa chỉ IP; vị trí hiện tại của người dùng;…
Nhà nghiên cứu bảo mật Mike Kuketz cho biết, không có cách nào để người dùng ngừng bị theo dõi bởi các trình theo dõi, ngoại trừ việc gỡ cài đặt ứng dụng LastPass.
Không chỉ người dùng Android, ứng dụng LastPass cũng theo dõi vị trí của người dùng; dữ liệu sử dụng; thông tin liên hệ… trên thiết bị của người dùng iPhone đã cài đặt ứng dụng.
Tất cả những thông tin này đều có thể được sử dụng, hoặc bán lại cho các công ty quảng cáo của bên thứ 3.
Trong một báo cáo mới đây, tờ The Register cũng chỉ ra rằng LastPass không phải là trình quản lý mật khẩu duy nhất hiện nay có chứa trình theo dõi. Hai ứng dụng khác là Bitwarden và Dashlane đều chứa các trình theo dõi, với số lượng lần lượt là 2 và 4.
Trong khi đó, hai trình quản lý mật khẩu khác là 1Password và KeePass (mã nguồn mở) lại hoàn toàn không có trình theo dõi người dùng.
Theo The Register, người phát ngôn của LastPass đã thừa nhận rằng các trình theo dõi có tồn tại trong ứng dụng.
Tuy nhiên, người này cho biết không có dữ liệu nhận dạng cá nhân của người dùng hoặc mật khẩu được thu thập. Theo người này tuyên bố, các trình theo dõi chỉ thu thập dữ liệu thống kê tổng hợp, được sử dụng để cải thiện sản phẩm.
Dẫu vậy, nhiều người dùng LastPass đã bắt đầu tẩy chay ứng dụng và chuyển sang sử dụng các ứng dụng khác.