LastPass Android-App trackt seine Benutzer

[English]Benutzer der Android-App LastPass (Passwort-Manager) sollten sich überlegen, diese von ihren Geräten zu entfernen. Mike Kuketz hat In der App mehrere Tracker gefunden, die die Benutzer überwachen.


Anzeige

Was ist LastPass?

LastPass ist ein webbasierter Passwortmanager-Online-Dienst. Er wird seit 2008 im Freemium-Modell angeboten. Er bietet ein Webinterface, zahlreiche Browser-Add-ons und eigene Apps für Android und iOS. LastPass kann also zum Speichern von Zugangsdaten verwendet werden. Auf seiner Internetseite wirbst das Unternehmen mit "Einfacher und sicherer Zugriff auf sämtliche Online-Ressourcen, überall." Es wird zudem ein kostenloser nahtloser Zugriff auf allen Geräten versprochen.

LastPass-Webseite

Im Google Play Store wird die Android-App LastPass von LogmeIn Inc. kostenlos angeboten und kann in der aktuellen Version auf fast 200.000 Downloads blicken. Mike Kuketz gibt über 10 Millionen Installationen an.

LastPass Android-App


Anzeige

Das Produkt wird von Seiten wie ComputerBild oder Chip breit beworben, dürfte also bei vielen Benutzern im Einsatz sein. Hier sollte sich aber jeder Nutzer darüber im Klaren sein, welches Risiko besteht. Schwachstellen haben in der Vergangenheit den Klau der Zugangsdaten ermöglicht und der Anwender bekommt die Zugangsdaten in seiner App in die Finger. Vertrauen ist also ein hohes Gut bei so etwas, sofern man nicht die Kennwortverwaltung der Browser oder Papier und Bleistift oder eine andere Authentifizierungsmethode verwendet.

Android-App mit Trackern

Mike Kuketz scheinen diese Gedanken auch durch den Kopf gegangen, denn er hat verschiedene Passwort-Manager-Apps für Android auf deren Sicherheit abgeklopft und wurde bei LastPass fündig. Er hat die Android-App mit Exodus Privacy auf Signaturen von Trackern untersucht und seine Erkenntnisse in diesem Blog-Beitrag veröffentlicht. In der App hat er gleich sieben Tracker gefunden.

  • AppsFlyer
  • Google Analytics
  • Google CrashLytics
  • Google Firebase Analytics
  • Google Tag Manager
  • MixPanel
  • Segment

Kuketz schreibt, dass Werbe- und Analytik-Tracker in einer Sicherheits-App nichts verloren haben – eine Position, der man sich durchaus anschließen kann. Über diese Tracker kann der Entwickler mitbekommen, was der Nutzer so alles treibt. Kuketz hat dann die App noch genauer unter die Lupe genommen und analysiert, was über das Netz so an Informationen geht. Dazu schreibt er, dass bereits unmittelbar nach dem Start der App alle Tracking-Anbieter kontaktiert werden:

  • Google Firebase Analytics (firebaseinstallations.googleapis.com)
  • Segment (cdn-settings.segment.com)
  • Google CrashLytics (firebase-settings.crashlytics.com)
  • AppsFlyer (inapps.appsflyer.com)
  • Mixpanel (api.mixpanel.com)
  • Google Analytics (ssl.google-analytics.com)

Es gibt keine Frage nach einer Datenübermittlung durch die App, was eigentlich erforderlich wäre (die Abfrage sehen die Tracker wohl nicht vor). Kutketz greift sich dann Mixpanel heraus. Der Tracker übermittelt eine Reihe an Kenndaten, von der Android-Version bis hin zum Vertragsverhältnis und ob das Gerät Telefoniefunktionen hat. Zudem will die App sehr viele Berechtigungen haben. Laut Kuketz ist die Google Advertising-ID des Geräts, Informationen zum Mobilfunkanbieter (operator „PureMobile") sowie auch eine einmalig generierte UID unter den übermittelten Informationen. Die Details lassen sich bei Kuketz im Blog nachlesen.

Sein Fazit: Die App dürfte gegen die DSGVO verstoßen und die Tracker gehen in einer so sensitiven Anwendung gar nicht. The Register, die das hier aufgegriffen haben, schreiben, dass 1Password und KeePass so was nicht hätten. Und die Diskussion über das obige Thema kommt zur falschen Zeit, denn beim Schreiben des Beitrags ging mir ein "da war doch was" im Kopf herum. Vor einigen Tagen hatte LastPass die freie Version der App auf die Verwendung auf einem Gerät begrenzt, wie man bei The Register nachlesen kann. Hat viele Nutzer zum Wechsel auf andere Passwort-Manager bewogen. The Register hat beim Entwickler nachgefragt und von einem LastPass-Sprecher die Antwort:

Keine sensiblen, persönlich identifizierbaren Benutzerdaten oder Tresoraktivitäten können durch diese Tracker weitergegeben werden.  Diese Tracker sammeln begrenzte aggregierte statistische Daten darüber, wie Sie LastPass verwenden, die uns helfen, das Produkt zu verbessern und zu optimieren.

Alle LastPass-Benutzer, unabhängig von Browser oder Gerät, haben die Möglichkeit, diese Analysen in ihren LastPass-Datenschutzeinstellungen zu deaktivieren, die sich in ihrem Konto hier befinden: Kontoeinstellungen > Erweiterte Einstellungen anzeigen > Datenschutz. Wir überprüfen kontinuierlich unsere bestehenden Prozesse und arbeiten daran, sie zu verbessern, um die Anforderungen der aktuell geltenden Datenschutzstandards zu erfüllen und zu übertreffen.

Es mag möglicherweise zutreffen, aber ein gutes Gefühl hätte ich nicht bei so einer Gemengelage. Persönlich verwende ich keine Passwort-Manager, sondern setze auf andere Methoden. Wie seht ihr das so?


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu LastPass Android-App trackt seine Benutzer

  1. No sagt:

    Das Internet ist eine "Zero-trust"-Region: Wie kann da jemand einer (kostenlosen) Password-Manager-App trauen?

    • Michael sagt:

      Naja, mal abgesehen von der "Free" Version zum Reinschnuppern, ist der Dienst kostenpflichtig. Man bietet halt eine kostenlose App dazu an, da man ja eh schon bezahlt. Also in so fern kann ich das Vertrauen schon nachvollziehen.

      Ich frage mich aber, ob man seine Kronjuwelen unbedingt auf einem Cloud Storage eines ausländischen Anbieters speichern "muss"..!? Das wäre ja, wie wenn ich meinen Haustürschlüssel beim Nachbarn in den Flur lege, in der Hoffnung, dass er seine Haustür abschließt.

  2. Anonymous sagt:

    Zum Speichern von Passwörtern würde ich niemals etwas anderes als OpenSource verwenden.

    Bei Webbasiert wäre ich auch auf jeden Fall schon raus. Entweder man verschlüsselt die Daten bevor man sie auf Fremder Infrastruktur speichert oder besser noch speichert sie gar nicht auf fremder Infrastruktur.

    Klar als ITler fällt mir sowas natürlich leichter als dem gemeinen Normalo, auf der anderen Seite verwendet der gemeine Normalo auch Whatsapp, Facebook und Co. von dem her ist das dann wahrscheinlich auch schon egal. Die Frage ist doch auch hat der Normalo wirklich sennsible Passwörter darin, bzw. mehr als Eins :) Ich mein Zugangsdaten von irgendwelchen Onlineshops bei denen keine Zahlungsinformationen hinterlegt sind, Wayne? :) Da gebe ich mir auch keine Mühe für ein sicheres Passwort. Es bleibt halt doch die Erkenntnis nichts ist umsonst, im Zweifelsfall zahlst halt mit deinen Daten!

  3. Knusper sagt:

    Ich habe viele Passwörter und bin oft unterwegs. Natürlich verwende ich einen Passwortmanager. Wie soll das sonst gehen? In dem Fall ist es Dashlane.

    Unabhängig davon bin ich der Meinung, dass kostenlose Angebote überhaupt nicht kostenlos sein können. (Ich bin Programmierer.)

    • Anonymous sagt:

      Ich stimme zu das es eigentlich keine kostenlosen Webangebote geben kann. Kostenlose Software hingegen ist durchaus möglich, siehe Linux. Sicher arbeiten hier auch bezahlte Entwickler mit, aber nicht aus Altruismus sondern um das bezahlende Unternehmen weiter zu bringen. Ich bin der festen Überzeugung Linux kommt auch gut ohne die Unternehmen klar nur umgekehrt ist das für einige nicht mehr so einfach möglich.

      Das Problem bei Webdiensten wie Lastass ist aber immer das ich eine Infrastruktur brauche und die erzeugt halt auch immer laufende Kosten, das bedenken dann aber leider die wenigsten.

      • lbbsy sagt:

        Wunderbarer Tippfehler (oder doch Absicht?) im zweiten Absatz, als Du den Namen der besprochenen App erwähnst!:-):-)

        Zum Thema: Fand es immer schon furchterregend, dermaßen sensible Daten in die Hände anderer zu geben.

    • Knusper sagt:

      Für mich war wichtig, dass der Container nur auf meinem Gerät entschlüsselt liegt, aber beim Anbieter verschlüsselt ist. Das WhitePaper sagt dazu mehr.

      Der Vorteil eines Passwortmanagers ist massiv. So kann ich z.B. die unmöglichsten Kennwörter verwenden. Und wenn die Jungs wissen wollen von wo aus ich den Container abrufe, nehme ich das in Kauf.

  4. 1ST1 sagt:

    Ich überlege schon länger, wie ich mit meinen Passwörtern umgehe. Solche Web/Cloudbasierte Dienste kommen aus den oben vielfach genannten Gründen nicht in Frage. Dennoch macht es Sinn, solch eine Passwot-Datenbank immer und überall im Zugriff zu haben. Dem einzigen Passwortmanager, dem ich bisher wirklich vertraue, ist KeePass, weil lange bewährt, kostenlos und speichert scheinbar unknackbar verschlüsselt, und er ist für viele Plattformen verfügbar. Hoffe ich jedenfalls. Und er lässt sich per Plugin in diverse Browser integrieren, und zur Not funktioniert ja auch "Autotype". Allerdings bietet Keepass selbst auch keinen Zugriff auf die gleiche Datenbank von verschiedenen Systemen aus. Im Netzwerk kann man das so lösen, dass die Datenbank auf einem Servershare liegt. Damit ist man aber unterwegs von der Nutzung abgeschnitten, oder man muss diszipliniert öfters den jeweils neuesten Stand händisch aufs Notebook/Smartphone/Tablet kopieren, aber das ist nicht zuverlässig, Faulheit obsiegt, im Zweifelsfalle hat man die aktuellste Datei dann doch nicht dabei.

    Meine Überlegung ist daher, die Keepass-Datenbank "einfach" aufs OneDrive zu legen, evtl. sogar in den angeblich besonders sicheren "Tresor", dann hätte ich wirklich Zugriff von überall. Was haltet ihr von der Idee? (Mein Microsoft-Account ist per Authenticator-App abgesichert, also Passwort klauen reicht nicht.)

    • Arch|IT|ekt sagt:

      KeePass 2.x plus das Plugin IOProtocolExt unter Windows, sowie Keepass2Android beherrschen WebDAV.
      Meine Datenbank liegt auf meinem Webspace, die Key-Datei dazu auf jedem Client.
      So komme ich von überall an meine aktuellen KeePass-Daten.

      Zusätzlich sorgt unter Windows das Plugin KPSimpleBackup für ein Archiv der letzten Versionen.
      Falls ich mal offline bin, nutze ich unter Windows diese Backups und unter Android den lokalen Cache der Datenbank.

      Seit Jahren gab es keine Probleme mit diesen Szenario!

    • Dat Bundesferkel sagt:

      Ich habe die Datenbank in meiner Nextcloud liegen und kann via Windows / Linux / Android einfach per webdav darauf zugreifen (Bekannte und etablierte Standards sind toll). :-)

      Und falls gar nichts anderes geht, ich kann den Datenbanktresor auch mittels KeePass-AddOn direkt in der Nextcloud öffnen.

      Vielleicht so als Idee / Anreiz für Dich, ob OneDrive webdav unterstützt kann ich Dir Ad-hoc nicht sagen, da ich immer wieder damit beschäftigt bin, dessen ungefragte Neuinstallationen zu beseitigen. :-D

  5. Zocker sagt:

    Mir ist es ein Rätsel, wieso man sich bei derart sensiblen Daten auf derartige Dienstleister überhaupt einlässt. Komfort mag ein Grund sein, aber steht der wirklich über der Sicherheit? Es gibt kostenlose Alternativen, wo keine kommerziellen Interessen dahinter stecken. Mag vielleicht etwas umständlicher sein, aber wenn einem die Sicherheit nichts wert ist, kann man wohl nichts machen.

    • Knusper sagt:

      Ich lege großen Wert auf Sicherheit. Und wenn es (für mich) nutzbare Dienstleister in Europa gibt, wechsle ich auch. Eine kurze Zeit habe ich Tresorit verwendet, was mir jedoch zu teuer ist.
      Noch mal zur Sicherheit. Ich benutze z.B. auch Boxcryptor für andere Cloudsachen.
      Was ich in diesen Diskussionen nicht verstehe, ist manchmal diese komplette Verweigerung der Cloud eines Dienstleisters. Das ist aus meiner Sicht heutzutage nicht mehr möglich. Ich denke auch, dass eine private Cloud (sprich ein Minirechenzentrum zuhause) von den meisten, inkl. mir, nicht gestemmt werden kann.

  6. Janami25 sagt:

    Nutze seit Jahren KeePass, sowohl Rechner als auch Smartphone. Datenbanken liegen verschlüsselt auf dem NAS. Zugriff mobil über Webdav(s) und der KeePass2 Android App, über den Rechner über die KeePass 2 Software. Funktioniert ausgezeichnet, für alle Familienmitglieder. Ohne Browser Plugins der Sicherheit wegen, also Copy-Paste…möchte nichts anderes, hoffe all das bleibt so.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.