Sicherheit: Lastpass, nimm die Tracker aus dem Passwortmanager!

Oft müssen wir entscheiden: Geben wir Daten oder Geld. Der Passwortmanager Lastpass will beides.

Ein IMHO von veröffentlicht am
Bei der Passworteingabe ist ein Blick über die Schulter nicht gern gesehen ...
Bei der Passworteingabe ist ein Blick über die Schulter nicht gern gesehen ... (Bild: Republica/Pixabay)

Für einen Passwortmanager sind Datenschutz und Sicherheit substantiell - immerhin vertraut man ihm den Zugang zum eigenen digitalen Leben an. Doch in der Android-App von Lastpass stecken sieben Trackingdienste - dabei lässt sich Lastpass ab März eigentlich nur noch sinnvoll gegen Geld nutzen.

Stellenmarkt
  1. Betriebswirtin / (Wirtschafts-)Informatikerin / Wirtschaftsingenieurin als SAP-Architektin ... (m/w/d)
    Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V., München
  2. Clinical Trial Associate (f/m/d)
    ITM Isotope Technologies Munich SE, Garching
Detailsuche

Bei vermeintlich kostenlosen Diensten lässt sich die Sache mit dem Tracking und der Werbung ja noch nachvollziehen, insbesondere, wenn man zwischen dem Bezahlen mit Daten oder Geld wählen kann. Doch wenn ich einem Dienst Geld dafür bezahle, erwarte ich, dass er mich wenigstens nicht überwacht und verfolgt.

Lastpass sieht das offensichtlich anders: Der Trackingscanner Exodus findet mit Analytics, Crashlytics, Firebase Analytics und dem Tag Manager gleich vier Bibliotheken des Datensammlers Google. Dazu kommen die Trackingdienste Appsflyer, Mixpanel und Segment. Diese sieben Trackingdienste - in älteren Versionen der App waren es gar elf - überwachen beispielsweise, wie eine App verwendet wird, und erstellen Verhaltensanalysen. Dinge, die man bei einem Passwortmanager, für den man obendrein auch noch Geld bezahlt, nicht sehen will.

Mit Tracking gibt es kein Vertrauen und keine Sicherheit

Allein aus Sicherheitsgründen will man keine Binärbibliotheken von Drittanbietern in seinem Passwortmanager haben, von denen man nie so genau weiß, was sie eigentlich zu welchem Zeitpunkt für Daten absaugen oder anfragen und welche Sicherheitslücken sie mitbringen könnten. Ich muss meinem Passwortmanager vertrauen können - wie soll das verdammt noch mal mit Trackingbibliotheken möglich sein?

Golem Akademie
  1. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Um eine Ahnung davon zu bekommen, was bei der Lastpass-App nach einem Start so alles rausgeschickt wird, hat der Sicherheitsforscher Mike Kuketz das Datensendeverhalten mitgeschnitten. Allein beim Start der App - ohne jedwede Nutzerinteraktion - wurden gleich sechs Trackingdienste kontaktiert und Informationen zur Android-Version, zum verwendeten Smartphone, aber auch zum Lastpass-Kontentyp (beispielsweise Free) und zum Mobilfunkanbieter übermittelt.

Auch der anschließend durchgeführte Registrierungsvorgang wurde vom Tracker Segment begleitet. Der Nutzungsalltag der App wird lückenlos überwacht: Wird beispielsweise ein Bankkonto hinterlegt, wird der Vorgang direkt an die Trackingdienste gemeldet, inklusive Typ - in dem Fall: Bankkonto, sonst beispielsweise Passwort oder Adresse. Dazu kommen der Erstellungszeitpunkt, weitere Metadaten, das Vertragsverhältnis (Premium-Trial, Family-Konto), die IP-Adresse und eine Fülle von Daten zu dem verwendeten Gerät.

Selbst die Information, in welcher Ansicht der Nutzer sich gerade befindet, wird laut Kuketz übermittelt. Dazu kommt die Android Werbe-ID, mit der sich die von verschiedenen Apps gesammelten Daten einem Gerät und damit meist einer Person zuordnen lassen - in den jeweiligen Datensammlungen der Trackingdienste.

Was genau geht es Google noch mal an, dass ich ein Bankkonto oder ein Passwort in meinem Passwortmanager hinterlege? Warum sollte das Nutzungsverhalten meines Passwortmanagers von Werbe- und Überwachungsfirmen analysiert und gemeinsam mit anderen Apps ein Persönlichkeitsprofil über mich erstellt werden? Einen solchen Passwortmanager möchte ich schlicht nicht nutzen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Passwortmanager und Tracker: Es ist nicht kompliziert, es ist schlimm!

Leider sieht es bei den meisten anderen Passwortmanagern auch nicht besser aus: Von Dashlane über Nordpass bis hin zu den Passwortmanagern von AV-Firmen wie Avira oder Trend Micro setzen alle auf Trackingdienste in ihren Apps. Dabei lassen sich nicht wenige ihre Cloud- und Synchronisationsdienste bezahlen.

Selbst Open-Source-Projekte wie Bitwarden (Test) binden in der App im Play Store einen externen Tracker ein. Immerhin ist eine Version für den alternativen App Store F-Droid trackerfrei. Von den kommerziellen Diensten ist 1Password (Test) hervorzuheben, die keine Tracker in ihrer Android-App integrieren - allerdings ist diese nicht Open Source.

Ebenfalls trackerfrei sind KeepassDX und Keepass2Android (Test), die das Android-Äquivalent zu Keepass oder KeepassXC sind. Diese bringen allerdings keinen eigenen Cloud- und Synchronisationsdienst mit - aber das kann ja auch ein Vorteil sein. Erst recht, wenn man etwas spenden kann, statt bezahlen zu müssen und dafür auch noch getrackt wird.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


ChriPusch 17. Mär 2021

Was hat Tracking mit der Verschlüsselung der Datenbank zu tun?

demon driver 26. Feb 2021

Das muss nicht notwendigerweise so sein. Wer für das Thema sensibel genug und nicht aus...

RexRex 24. Feb 2021

Hm, also ich finde das dennoch nicht akzeptabel. Vor allem nicht in einem...

SirAstral 24. Feb 2021

Bisher hatten wir keinen Bedarf für Teamlösung. Danke aber für den Link. Hab ihn mals...

AvailableLight 24. Feb 2021

Wo ist das Frickeln, wenn ein Datenbankfile über mehrere Clients konsistent gehalten...



Aktuell auf der Startseite von Golem.de
Geschäftsethik bei Videospielen
Auf der Suche nach dem Wal

Das Geschäftsmodell von aktuellen Free-to-Play-Games nimmt das Risiko in Kauf, dass Menschen von Spielen abhängig werden. Eigentlich basiert es sogar darauf.
Von Evan Armstrong

Geschäftsethik bei Videospielen: Auf der Suche nach dem Wal
Artikel
  1. Samsung: Galaxy Z Flip 3 kann konfiguriert werden
    Samsung
    Galaxy Z Flip 3 kann konfiguriert werden

    Samsung bietet das Falt-Smartphone Galaxy Z Flip 3 künftig auch in der Bespoke-Edition an - also in konfigurierbaren Farbkombinationen.

  2. Nintendo Switch: Deutscher Jugendschutz sperrt Dying Light in Australien
    Nintendo Switch
    Deutscher Jugendschutz sperrt Dying Light in Australien

    Das frisch für die Switch veröffentlichte Dying Light ist in Europa und in Australien nicht erhältlich - wegen des deutschen Jugendschutzes.

  3. Sexismus-Skandal: 20 Angestellte müssen Activision Blizzard verlassen
    Sexismus-Skandal
    20 Angestellte müssen Activision Blizzard verlassen

    In einer offiziellen Stellungnahme erklärt Activision Blizzard, dass im Rahmen der jüngsten Skandale 20 Menschen ihren Posten räumen mussten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week Finale: Bis 33% auf Digitus-Monitorhalterungen & bis 36 Prozent auf EVGA-Netzteile • Samsung-Monitore (u. a. 24" FHD 144Hz 169€) • Bosch Professional zu Bestpreisen • Sandisk Ultra 3D 500GB 47,99€ • Google Pixel 6 vorbestellbar ab 649€ + Bose Headphones als Geschenk [Werbung]
    •  /