Sicherheit: Lastpass, nimm die Tracker aus dem Passwortmanager!

Oft müssen wir entscheiden: Geben wir Daten oder Geld. Der Passwortmanager Lastpass will beides.

Ein IMHO von veröffentlicht am
Bei der Passworteingabe ist ein Blick über die Schulter nicht gern gesehen ...
Bei der Passworteingabe ist ein Blick über die Schulter nicht gern gesehen ... (Bild: Republica/Pixabay)

Für einen Passwortmanager sind Datenschutz und Sicherheit substantiell - immerhin vertraut man ihm den Zugang zum eigenen digitalen Leben an. Doch in der Android-App von Lastpass stecken sieben Trackingdienste - dabei lässt sich Lastpass ab März eigentlich nur noch sinnvoll gegen Geld nutzen.

Stellenmarkt
  1. Software Architect - Data Infrastructure (m/f/d)
    Advantest Europe GmbH, Böblingen
  2. Informatiker*in Entwicklung von Simulationssoftware
    Fraunhofer-Institut für Kurzzeitdynamik, Ernst-Mach-Institut EMI, Efringen-Kirchen, Freiburg
Detailsuche

Bei vermeintlich kostenlosen Diensten lässt sich die Sache mit dem Tracking und der Werbung ja noch nachvollziehen, insbesondere, wenn man zwischen dem Bezahlen mit Daten oder Geld wählen kann. Doch wenn ich einem Dienst Geld dafür bezahle, erwarte ich, dass er mich wenigstens nicht überwacht und verfolgt.

Lastpass sieht das offensichtlich anders: Der Trackingscanner Exodus findet mit Analytics, Crashlytics, Firebase Analytics und dem Tag Manager gleich vier Bibliotheken des Datensammlers Google. Dazu kommen die Trackingdienste Appsflyer, Mixpanel und Segment. Diese sieben Trackingdienste - in älteren Versionen der App waren es gar elf - überwachen beispielsweise, wie eine App verwendet wird, und erstellen Verhaltensanalysen. Dinge, die man bei einem Passwortmanager, für den man obendrein auch noch Geld bezahlt, nicht sehen will.

Mit Tracking gibt es kein Vertrauen und keine Sicherheit

Allein aus Sicherheitsgründen will man keine Binärbibliotheken von Drittanbietern in seinem Passwortmanager haben, von denen man nie so genau weiß, was sie eigentlich zu welchem Zeitpunkt für Daten absaugen oder anfragen und welche Sicherheitslücken sie mitbringen könnten. Ich muss meinem Passwortmanager vertrauen können - wie soll das verdammt noch mal mit Trackingbibliotheken möglich sein?

Golem Karrierewelt
  1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    28.-30.11.2022, Virtuell
  2. Certified Network Defender (CND): virtueller Fünf-Tage-Workshop
    17.-21.10.2022, Virtuell
Weitere IT-Trainings

Um eine Ahnung davon zu bekommen, was bei der Lastpass-App nach einem Start so alles rausgeschickt wird, hat der Sicherheitsforscher Mike Kuketz das Datensendeverhalten mitgeschnitten. Allein beim Start der App - ohne jedwede Nutzerinteraktion - wurden gleich sechs Trackingdienste kontaktiert und Informationen zur Android-Version, zum verwendeten Smartphone, aber auch zum Lastpass-Kontentyp (beispielsweise Free) und zum Mobilfunkanbieter übermittelt.

Auch der anschließend durchgeführte Registrierungsvorgang wurde vom Tracker Segment begleitet. Der Nutzungsalltag der App wird lückenlos überwacht: Wird beispielsweise ein Bankkonto hinterlegt, wird der Vorgang direkt an die Trackingdienste gemeldet, inklusive Typ - in dem Fall: Bankkonto, sonst beispielsweise Passwort oder Adresse. Dazu kommen der Erstellungszeitpunkt, weitere Metadaten, das Vertragsverhältnis (Premium-Trial, Family-Konto), die IP-Adresse und eine Fülle von Daten zu dem verwendeten Gerät.

Selbst die Information, in welcher Ansicht der Nutzer sich gerade befindet, wird laut Kuketz übermittelt. Dazu kommt die Android Werbe-ID, mit der sich die von verschiedenen Apps gesammelten Daten einem Gerät und damit meist einer Person zuordnen lassen - in den jeweiligen Datensammlungen der Trackingdienste.

Was genau geht es Google noch mal an, dass ich ein Bankkonto oder ein Passwort in meinem Passwortmanager hinterlege? Warum sollte das Nutzungsverhalten meines Passwortmanagers von Werbe- und Überwachungsfirmen analysiert und gemeinsam mit anderen Apps ein Persönlichkeitsprofil über mich erstellt werden? Einen solchen Passwortmanager möchte ich schlicht nicht nutzen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Passwortmanager und Tracker: Es ist nicht kompliziert, es ist schlimm!

Leider sieht es bei den meisten anderen Passwortmanagern auch nicht besser aus: Von Dashlane über Nordpass bis hin zu den Passwortmanagern von AV-Firmen wie Avira oder Trend Micro setzen alle auf Trackingdienste in ihren Apps. Dabei lassen sich nicht wenige ihre Cloud- und Synchronisationsdienste bezahlen.

Selbst Open-Source-Projekte wie Bitwarden (Test) binden in der App im Play Store einen externen Tracker ein. Immerhin ist eine Version für den alternativen App Store F-Droid trackerfrei. Von den kommerziellen Diensten ist 1Password (Test) hervorzuheben, die keine Tracker in ihrer Android-App integrieren - allerdings ist diese nicht Open Source.

Ebenfalls trackerfrei sind KeepassDX und Keepass2Android (Test), die das Android-Äquivalent zu Keepass oder KeepassXC sind. Diese bringen allerdings keinen eigenen Cloud- und Synchronisationsdienst mit - aber das kann ja auch ein Vorteil sein. Erst recht, wenn man etwas spenden kann, statt bezahlen zu müssen und dafür auch noch getrackt wird.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


ChriPusch 17. Mär 2021

Was hat Tracking mit der Verschlüsselung der Datenbank zu tun?

demon driver 26. Feb 2021

Das muss nicht notwendigerweise so sein. Wer für das Thema sensibel genug und nicht aus...

RexRex 24. Feb 2021

Hm, also ich finde das dennoch nicht akzeptabel. Vor allem nicht in einem...

SirAstral 24. Feb 2021

Bisher hatten wir keinen Bedarf für Teamlösung. Danke aber für den Link. Hab ihn mals...



Aktuell auf der Startseite von Golem.de
Neue Grafikkarten
Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht

Der US-Händler Newegg gibt einen Blick auf die Preise der Nvidia-Ada-Grafikkarten. Sie werden teurer als die Geforce RTX 3090 zuvor.

Neue Grafikkarten: Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht
Artikel
  1. Smart Home Eco Systems: Was unterscheidet Alexa von Homekit von Google Home?
    Smart Home Eco Systems
    Was unterscheidet Alexa von Homekit von Google Home?

    Alexa, Homekit, Google Home - ist das nicht eigentlich alles das Gleiche? Nein, es gibt erhebliche Unterschiede bei Sprachsteuerung, Integration und Datenschutz. Ein Vergleich.
    Eine Analyse von Karl-Heinz Müller

  2. Hideo Kojima: Es sollte ein Death-Stranding-Spiel für Google Stadia geben
    Hideo Kojima
    Es sollte ein Death-Stranding-Spiel für Google Stadia geben

    Hideo Kojima arbeitete am Exklusivtitel für Stadia. Das wurde vorzeitig eingestellt, auch weil Google nicht an Einzelspieler-Games glaubte.

  3. Superbase V: Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt
    Superbase V
    Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt

    Vor dem Verkaufsstart über die eigene Webseite verkauft Zendure seine Superbase V über Kickstarter - mit teilweise fast 50 Prozent Rabatt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Razer DeathAdder V3 Pro 106,39€ • Alternate (u. a. Kingston FURY Beast RGB 32 GB DDR5-6000 226,89€, be quiet! Silent Base 802 Window 156,89€) • MindFactory (u. a. Kingston A400 240/480 GB 17,50€/32€) • SanDisk microSDXC 400 GB 29,99€ • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ [Werbung]
    •  /