{"id":250104,"date":"2021-02-26T10:02:42","date_gmt":"2021-02-26T09:02:42","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=250104"},"modified":"2022-08-09T10:42:01","modified_gmt":"2022-08-09T08:42:01","slug":"lastpass-android-app-trackt-seine-benutzer","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/02\/26\/lastpass-android-app-trackt-seine-benutzer\/","title":{"rendered":"LastPass Android-App trackt seine Benutzer"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/02\/27\/lastpass-android-app-trackt-seine-benutzer\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Benutzer der Android-App LastPass (Passwort-Manager) sollten sich \u00fcberlegen, diese von ihren Ger\u00e4ten zu entfernen. Mike Kuketz hat In der App mehrere Tracker gefunden, die die Benutzer \u00fcberwachen.<\/p>\n<p><!--more--><\/p>\n<h2>Was ist LastPass?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/4abc75fc7f454c28aeffbee40c77531b\" alt=\"\" width=\"1\" height=\"1\" \/><a href=\"https:\/\/de.wikipedia.org\/wiki\/LastPass\" target=\"_blank\" rel=\"noopener\">LastPass<\/a> ist ein webbasierter Passwortmanager-Online-Dienst. Er wird seit 2008 im Freemium-Modell angeboten. Er bietet ein Webinterface, zahlreiche Browser-Add-ons und eigene Apps f\u00fcr Android und iOS. LastPass kann also zum Speichern von Zugangsdaten verwendet werden. Auf <a href=\"https:\/\/web.archive.org\/web\/20220130075345\/https:\/\/www.lastpass.com\/de\/security\/staying-secure-online\" target=\"_blank\" rel=\"noopener\">seiner Internetseite<\/a> wirbst das Unternehmen mit \"Einfacher und sicherer Zugriff auf s\u00e4mtliche Online-Ressourcen, \u00fcberall.\" Es wird zudem ein kostenloser nahtloser Zugriff auf allen Ger\u00e4ten versprochen.<\/p>\n<p><a href=\"https:\/\/web.archive.org\/web\/20220130075345\/https:\/\/www.lastpass.com\/de\/security\/staying-secure-online\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"LastPass-Webseite\" src=\"https:\/\/i.imgur.com\/fdwhRl1.png\" alt=\"LastPass-Webseite\" \/><\/a><\/p>\n<p>Im Google Play Store wird die <a href=\"https:\/\/play.google.com\/store\/apps\/details?id=com.lastpass.lpandroid&amp;hl=de&amp;gl=US\" target=\"_blank\" rel=\"noopener\">Android-App LastPass von LogmeIn<\/a> Inc. kostenlos angeboten und kann in der aktuellen Version auf fast 200.000 Downloads blicken. Mike Kuketz gibt \u00fcber 10 Millionen Installationen an.<\/p>\n<p><a href=\"https:\/\/play.google.com\/store\/apps\/details?id=com.lastpass.lpandroid&amp;hl=de&amp;gl=US\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"LastPass Android-App\" src=\"https:\/\/i.imgur.com\/HaFcpQS.png\" alt=\"LastPass Android-App\" \/><\/a><\/p>\n<p>Das Produkt wird von Seiten wie ComputerBild oder Chip breit beworben, d\u00fcrfte also bei vielen Benutzern im Einsatz sein. Hier sollte sich aber jeder Nutzer dar\u00fcber im Klaren sein, welches Risiko besteht. Schwachstellen haben in der Vergangenheit den Klau der Zugangsdaten erm\u00f6glicht und der Anwender bekommt die Zugangsdaten in seiner App in die Finger. Vertrauen ist also ein hohes Gut bei so etwas, sofern man nicht die Kennwortverwaltung der Browser oder Papier und Bleistift oder eine andere Authentifizierungsmethode verwendet.<\/p>\n<h2>Android-App mit Trackern<\/h2>\n<p>Mike Kuketz scheinen diese Gedanken auch durch den Kopf gegangen, denn er hat verschiedene Passwort-Manager-Apps f\u00fcr Android auf deren Sicherheit abgeklopft und wurde bei LastPass f\u00fcndig. Er hat die Android-App mit <a href=\"https:\/\/www.kuketz-blog.de\/android-wie-exodus-privacy-funktioniert\/\" target=\"_blank\" rel=\"noopener\">Exodus Privacy<\/a> auf Signaturen von Trackern untersucht und seine Erkenntnisse in <a href=\"https:\/\/www.kuketz-blog.de\/lastpass-android-drittanbieter-ueberwachen-jeden-schritt\/\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a> ver\u00f6ffentlicht. In der App hat er gleich <a href=\"https:\/\/reports.exodus-privacy.eu.org\/en\/reports\/165465\/\" target=\"_blank\" rel=\"noopener\">sieben Tracker gefunden<\/a>.<\/p>\n<ul>\n<li>AppsFlyer<\/li>\n<li>Google Analytics<\/li>\n<li>Google CrashLytics<\/li>\n<li>Google Firebase Analytics<\/li>\n<li>Google Tag Manager<\/li>\n<li>MixPanel<\/li>\n<li>Segment<\/li>\n<\/ul>\n<p>Kuketz schreibt, dass Werbe- und Analytik-Tracker in einer Sicherheits-App nichts verloren haben &#8211; eine Position, der man sich durchaus anschlie\u00dfen kann. \u00dcber diese Tracker kann der Entwickler mitbekommen, was der Nutzer so alles treibt. Kuketz hat dann die App noch genauer unter die Lupe genommen und analysiert, was \u00fcber das Netz so an Informationen geht. Dazu schreibt er, dass bereits unmittelbar nach dem Start der App alle Tracking-Anbieter kontaktiert werden:<\/p>\n<ul>\n<li>Google Firebase Analytics (firebaseinstallations.googleapis.com)<\/li>\n<li>Segment (cdn-settings.segment.com)<\/li>\n<li>Google CrashLytics (firebase-settings.crashlytics.com)<\/li>\n<li>AppsFlyer (inapps.appsflyer.com)<\/li>\n<li>Mixpanel (api.mixpanel.com)<\/li>\n<li>Google Analytics (ssl.google-analytics.com)<\/li>\n<\/ul>\n<p>Es gibt keine Frage nach einer Daten\u00fcbermittlung durch die App, was eigentlich erforderlich w\u00e4re (die Abfrage sehen die Tracker wohl nicht vor). Kutketz greift sich dann Mixpanel heraus. Der Tracker \u00fcbermittelt eine Reihe an Kenndaten, von der Android-Version bis hin zum Vertragsverh\u00e4ltnis und ob das Ger\u00e4t Telefoniefunktionen hat. Zudem will die App sehr viele Berechtigungen haben. Laut Kuketz ist die <a href=\"https:\/\/support.google.com\/googleplay\/android-developer\/answer\/6048248?hl=de\" target=\"_blank\" rel=\"noopener\">Google Advertising-ID<\/a> des Ger\u00e4ts, Informationen zum Mobilfunkanbieter (operator \u201ePureMobile\") sowie auch eine einmalig generierte UID unter den \u00fcbermittelten Informationen. Die Details lassen sich bei Kuketz <a href=\"https:\/\/www.kuketz-blog.de\/lastpass-android-drittanbieter-ueberwachen-jeden-schritt\/\" target=\"_blank\" rel=\"noopener\">im Blog<\/a> nachlesen.<\/p>\n<p>Sein Fazit: Die App d\u00fcrfte gegen die DSGVO versto\u00dfen und die Tracker gehen in einer so sensitiven Anwendung gar nicht. The Register, die das <a href=\"https:\/\/www.theregister.com\/2021\/02\/25\/lastpass_android_trackers_found\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> aufgegriffen haben, schreiben, dass 1Password und KeePass so was nicht h\u00e4tten. Und die Diskussion \u00fcber das obige Thema kommt zur falschen Zeit, denn beim Schreiben des Beitrags ging mir ein \"da war doch was\" im Kopf herum. Vor einigen Tagen hatte LastPass die freie Version der App auf die Verwendung auf einem Ger\u00e4t begrenzt, wie man bei <a href=\"https:\/\/www.theregister.com\/2021\/02\/16\/lastpass_pricing_changes\/\" target=\"_blank\" rel=\"noopener\">The Register nachlesen<\/a> kann. Hat viele Nutzer zum Wechsel auf andere Passwort-Manager bewogen. The Register hat beim Entwickler nachgefragt und von einem LastPass-Sprecher die Antwort:<\/p>\n<blockquote><p>Keine sensiblen, pers\u00f6nlich identifizierbaren Benutzerdaten oder Tresoraktivit\u00e4ten k\u00f6nnen durch diese Tracker weitergegeben werden.\u00a0 Diese Tracker sammeln begrenzte aggregierte statistische Daten dar\u00fcber, wie Sie LastPass verwenden, die uns helfen, das Produkt zu verbessern und zu optimieren.<\/p>\n<p>Alle LastPass-Benutzer, unabh\u00e4ngig von Browser oder Ger\u00e4t, haben die M\u00f6glichkeit, diese Analysen in ihren LastPass-Datenschutzeinstellungen zu deaktivieren, die sich in ihrem Konto hier befinden: Kontoeinstellungen &gt; Erweiterte Einstellungen anzeigen &gt; Datenschutz. Wir \u00fcberpr\u00fcfen kontinuierlich unsere bestehenden Prozesse und arbeiten daran, sie zu verbessern, um die Anforderungen der aktuell geltenden Datenschutzstandards zu erf\u00fcllen und zu \u00fcbertreffen.<\/p><\/blockquote>\n<p>Es mag m\u00f6glicherweise zutreffen, aber ein gutes Gef\u00fchl h\u00e4tte ich nicht bei so einer Gemengelage. Pers\u00f6nlich verwende ich keine Passwort-Manager, sondern setze auf andere Methoden. Wie seht ihr das so?<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Benutzer der Android-App LastPass (Passwort-Manager) sollten sich \u00fcberlegen, diese von ihren Ger\u00e4ten zu entfernen. Mike Kuketz hat In der App mehrere Tracker gefunden, die die Benutzer \u00fcberwachen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-250104","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/250104","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=250104"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/250104\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=250104"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=250104"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=250104"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}