• IT-Karriere:
  • Services:

Sicherheit: Lastpass, nimm die Tracker aus dem Passwortmanager!

Oft müssen wir entscheiden: Geben wir Daten oder Geld. Der Passwortmanager Lastpass will beides.

Ein IMHO von veröffentlicht am
Bei der Passworteingabe ist ein Blick über die Schulter nicht gern gesehen ...
Bei der Passworteingabe ist ein Blick über die Schulter nicht gern gesehen ... (Bild: Republica/Pixabay)

Für einen Passwortmanager sind Datenschutz und Sicherheit substantiell - immerhin vertraut man ihm den Zugang zum eigenen digitalen Leben an. Doch in der Android-App von Lastpass stecken sieben Trackingdienste - dabei lässt sich Lastpass ab März eigentlich nur noch sinnvoll gegen Geld nutzen.

Stellenmarkt
  1. [bu:st] GmbH, München
  2. MLF Mercator-Leasing GmbH & Co. Finanz-KG, Schweinfurt

Bei vermeintlich kostenlosen Diensten lässt sich die Sache mit dem Tracking und der Werbung ja noch nachvollziehen, insbesondere, wenn man zwischen dem Bezahlen mit Daten oder Geld wählen kann. Doch wenn ich einem Dienst Geld dafür bezahle, erwarte ich, dass er mich wenigstens nicht überwacht und verfolgt.

Lastpass sieht das offensichtlich anders: Der Trackingscanner Exodus findet mit Analytics, Crashlytics, Firebase Analytics und dem Tag Manager gleich vier Bibliotheken des Datensammlers Google. Dazu kommen die Trackingdienste Appsflyer, Mixpanel und Segment. Diese sieben Trackingdienste - in älteren Versionen der App waren es gar elf - überwachen beispielsweise, wie eine App verwendet wird, und erstellen Verhaltensanalysen. Dinge, die man bei einem Passwortmanager, für den man obendrein auch noch Geld bezahlt, nicht sehen will.

Mit Tracking gibt es kein Vertrauen und keine Sicherheit

Allein aus Sicherheitsgründen will man keine Binärbibliotheken von Drittanbietern in seinem Passwortmanager haben, von denen man nie so genau weiß, was sie eigentlich zu welchem Zeitpunkt für Daten absaugen oder anfragen und welche Sicherheitslücken sie mitbringen könnten. Ich muss meinem Passwortmanager vertrauen können - wie soll das verdammt noch mal mit Trackingbibliotheken möglich sein?

Um eine Ahnung davon zu bekommen, was bei der Lastpass-App nach einem Start so alles rausgeschickt wird, hat der Sicherheitsforscher Mike Kuketz das Datensendeverhalten mitgeschnitten. Allein beim Start der App - ohne jedwede Nutzerinteraktion - wurden gleich sechs Trackingdienste kontaktiert und Informationen zur Android-Version, zum verwendeten Smartphone, aber auch zum Lastpass-Kontentyp (beispielsweise Free) und zum Mobilfunkanbieter übermittelt.

Auch der anschließend durchgeführte Registrierungsvorgang wurde vom Tracker Segment begleitet. Der Nutzungsalltag der App wird lückenlos überwacht: Wird beispielsweise ein Bankkonto hinterlegt, wird der Vorgang direkt an die Trackingdienste gemeldet, inklusive Typ - in dem Fall: Bankkonto, sonst beispielsweise Passwort oder Adresse. Dazu kommen der Erstellungszeitpunkt, weitere Metadaten, das Vertragsverhältnis (Premium-Trial, Family-Konto), die IP-Adresse und eine Fülle von Daten zu dem verwendeten Gerät.

Selbst die Information, in welcher Ansicht der Nutzer sich gerade befindet, wird laut Kuketz übermittelt. Dazu kommt die Android Werbe-ID, mit der sich die von verschiedenen Apps gesammelten Daten einem Gerät und damit meist einer Person zuordnen lassen - in den jeweiligen Datensammlungen der Trackingdienste.

Was genau geht es Google noch mal an, dass ich ein Bankkonto oder ein Passwort in meinem Passwortmanager hinterlege? Warum sollte das Nutzungsverhalten meines Passwortmanagers von Werbe- und Überwachungsfirmen analysiert und gemeinsam mit anderen Apps ein Persönlichkeitsprofil über mich erstellt werden? Einen solchen Passwortmanager möchte ich schlicht nicht nutzen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Passwortmanager und Tracker: Es ist nicht kompliziert, es ist schlimm!

Leider sieht es bei den meisten anderen Passwortmanagern auch nicht besser aus: Von Dashlane über Nordpass bis hin zu den Passwortmanagern von AV-Firmen wie Avira oder Trend Micro setzen alle auf Trackingdienste in ihren Apps. Dabei lassen sich nicht wenige ihre Cloud- und Synchronisationsdienste bezahlen.

Selbst Open-Source-Projekte wie Bitwarden (Test) binden in der App im Play Store einen externen Tracker ein. Immerhin ist eine Version für den alternativen App Store F-Droid trackerfrei. Von den kommerziellen Diensten ist 1Password (Test) hervorzuheben, die keine Tracker in ihrer Android-App integrieren - allerdings ist diese nicht Open Source.

Ebenfalls trackerfrei sind KeepassDX und Keepass2Android (Test), die das Android-Äquivalent zu Keepass oder KeepassXC sind. Diese bringen allerdings keinen eigenen Cloud- und Synchronisationsdienst mit - aber das kann ja auch ein Vorteil sein. Erst recht, wenn man etwas spenden kann, statt bezahlen zu müssen und dafür auch noch getrackt wird.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 28,99€
  2. 9,29€

demon driver 26. Feb 2021 / Themenstart

Das muss nicht notwendigerweise so sein. Wer für das Thema sensibel genug und nicht aus...

RexRex 24. Feb 2021 / Themenstart

Hm, also ich finde das dennoch nicht akzeptabel. Vor allem nicht in einem...

SirAstral 24. Feb 2021 / Themenstart

Bisher hatten wir keinen Bedarf für Teamlösung. Danke aber für den Link. Hab ihn mals...

AvailableLight 24. Feb 2021 / Themenstart

Wo ist das Frickeln, wenn ein Datenbankfile über mehrere Clients konsistent gehalten...

Kaiser Ming 24. Feb 2021 / Themenstart

hab ich aktuell eh nicht vor ;)

Kommentieren


Folgen Sie uns
       


Radeon RX 6800 (XT) im Test mit Benchmarks

Lange hatte AMD bei Highend-Grafikkarten nichts zu melden, mit den Radeon RX 6800 (XT) kehrt die Gaming-Konkurrenz zurück.

Radeon RX 6800 (XT) im Test mit Benchmarks Video aufrufen
The Legend of Zelda: Das Vorbild für alle Action-Adventures
The Legend of Zelda
Das Vorbild für alle Action-Adventures

The Legend of Zelda von 1986 hat das Genre geprägt. Wir haben den 8-Bit-Klassiker erneut gespielt - und waren hin- und hergerissen.
Von Benedikt Plass-Fleßenkämper


    Surface Duo im Test: Microsoft, bitte bring ein Surface Duo 2!
    Surface Duo im Test
    Microsoft, bitte bring ein Surface Duo 2!

    Microsofts neuer Ausflug in die Smartphone-Welt ist gewagt - das Konzept stimmt aber. Nicht stimmig hingegen sind Software, Hardware und Preis.
    Ein Test von Tobias Költzsch

    1. Error 1016 Windows-Händler Lizengo ist online nicht mehr erreichbar
    2. Kubernetes Microsofts einfache Cloud-Laufzeitumgebung Dapr wird stabil
    3. Microsoft Surface Duo kostet in Deutschland ab 1.550 Euro

    Wissen für ITler: 11 tolle Tech-Podcasts
    Wissen für ITler
    11 tolle Tech-Podcasts

    Die Menge an Tech-Podcasts ist schier unüberschaubar. Wir haben ein paar Empfehlungen, die die Zeit wert sind.
    Von Dennis Kogel


        •  /