セキュリティ研究者が、パスワードマネージャー「LastPass」のAndroidアプリに7つのトラッカーが埋め込まれていることを指摘し、使用を推奨していない。開発者は、ユーザーが希望すればオプトアウトできると述べている。
ドイツの情報セキュリティ専門家マイク・クケッツ氏は、Exodus が作成した分析で LastPass のトラッカーを発見した。Exodus は自らを「Android アプリケーションの追跡問題について人々がよりよく理解できるように支援することを目的とする、ハクティビストが率いる非営利団体」と称している。
ExodusによるLastPassに関するレポートでは、Androidアプリに7つのトラッカーが存在していることが示されています。これには、分析とクラッシュレポートを目的としたGoogleのトラッカー4つに加え、AppsFlyer、MixPanel、Segmentのトラッカーも含まれています。例えばSegmentはマーケティングチーム向けにデータを収集し、「顧客の単一ビュー」を提供すると主張しています。これは、ユーザーのプロファイリングと、異なるプラットフォーム間でのアクティビティの関連付けによって、おそらくカスタマイズされた広告を提供するために行われていると考えられます。
LastPassには多くの無料ユーザーがいます。所有者が何らかの方法で収益化を図ろうとするのは問題でしょうか?クケッツ氏は問題だと答えました。通常、このようなトラッカーは、開発者がトラッキングプロバイダーのコードを自分のアプリケーションにコンパイルすることで機能します。収集された情報は、ユーザーの行動から興味関心のプロファイルを構築し、広告をターゲティングするために使用できます。
クケッツ氏は、アプリ開発者でさえ、どのようなデータが収集され、サードパーティプロバイダーに送信されるかを把握しておらず、独自コードの統合はプライバシーリスクだけでなく、セキュリティリスクや予期せぬ動作を招く可能性があると述べた。こうしたことは、セキュリティが極めて重要なパスワードマネージャーにはふさわしくないと同氏は述べた。
クケッツ氏はネットワークトラフィックを検査することで、どのようなデータが送信されるかを調査しました。その結果、使用されているデバイス、携帯電話会社、LastPassアカウントの種類、Google広告ID(複数のアプリ間でユーザーデータを連携できる)などの詳細情報が含まれていることがわかりました。また、使用中のデータには、新しいパスワードがいつ作成され、どのような種類だったかが示されています。クケッツ氏は、実際のパスワードやユーザー名が送信されるとは示唆していませんが、オプトアウトダイアログや、第三者にデータが送信されることに関するユーザー向けの情報がないことを指摘しました。彼の見解では、トラッカーの存在はセキュリティに対する最適な姿勢ではないことを示しています。クケッツ氏は、オープンソースのKeePassなどの別のパスワードマネージャーへの切り替えを推奨しています。
LastPassは来月から、無料パスワードマネージャーのユーザーをパソコンかモバイルのどちらか1種類のデバイスのみに制限する。
続きを読む
すべてのパスワードアプリにトラッカーが搭載されているのでしょうか?Exodusによると、そうではありません。1Passwordには一切搭載されておらず、KeePassにも搭載されていません。オープンソースのBitwardenには、Google FirebaseアナリティクスとMicrosoft Visual Studioのクラッシュレポート用のトラッカーが2つ搭載されています。Dashlaneには4つ搭載されています。LastPassは、競合他社よりも多くのトラッカーを搭載しているようです。そして、多くのスマートフォンアプリにもトラッカーが搭載されています。今日はLastPassについてお話します。
管理すべきパスワードの数は記憶能力を超えており、セキュリティ上必要な複雑なパスワードは特に記憶しにくいため、パスワードマネージャーはほとんどのユーザーにとって不可欠です。複数のサービスで同じパスワードを使い回すのは、パスワードが盗まれたり、誤って漏洩したりした場合の影響が大きくなるため、好ましくありません。
LastPassのトラッカーに関する議論は、タイミングが悪い。今月初め、同社(LogMeIn傘下)は無料版のサポートを1種類のデバイスのみに制限した。多くのユーザーがその結果、1Passwordに乗り換える意向を示している。例えば、Mattias Ahnberg氏はTwitterで「これで、1Passwordが追加しようとしているような制限に阻まれるのではなく、1Passwordに乗り換える」と投稿した。無料ユーザーを失うことが狙いだった可能性もあるが、トラッキング問題は有料ユーザーにも影響するため、有料ユーザーの方がより深刻な懸念材料となるだろう。
LastPassの広報担当者は次のように語っています。「これらのトラッカーを通じて、個人を特定できる機密性の高いユーザーデータや保管庫のアクティビティが渡されることはありません。これらのトラッカーは、LastPassの使用方法に関する限定的な集計統計データを収集し、製品の改善と最適化に役立てています。」
ブラウザやデバイスを問わず、すべてのLastPassユーザーは、アカウント内の「アカウント設定」>「詳細設定を表示」>「プライバシー」から、これらの分析をオプトアウトすることができます。当社は、既存のプロセスを継続的に見直し、現行の適用可能なデータ保護基準の要件を遵守し、さらに上回るよう改善に取り組んでいます。®
編集者注:この記事は公開後に修正され、KeyPassではなく、より人気の高いKeePassについて言及しています。どちらもトラッカーを搭載していません。
