Tietoturvatutkijat löysivät seitsemän seurantaa LastPass-salasananhallintaohjelman Android-sovelluksesta

Nykyään ei ole harvinaista kuulla sovellusten olevan saastuneita seurantalaitteilla. Yksi yleinen syy tähän on datan arvostus. Toimijat, mainosyrityksistä jopa kyberrikollisiin, etsivät yhä enemmän tapoja kerätä ja käyttää dataa. Vaikka ihmiset yleensä tunnistavat ja estävät seurantalaitteet muissa sovelluksissa nopeasti, he eivät ole yhtä huolellisia salasanojen hallintaohjelmien suhteen. Tämä johtuu siitä, että salasanojen hallintaohjelmien oletetaan olevan yksityisyyden majakoita. Siksi on vieläkin häiritsevämpää huomata, että jotkut salasanojen hallintaohjelmat itse asiassa altistavat käyttäjiensä yksityisyyden sallimalla seurantalaitteita sovelluksissaan.

## Mikä on LastPass?

LastPass on salasanojen hallintaohjelma, joka mahdollistaa käyttäjille salasanojen ja käyttäjätunnusten luomisen, tallentamisen ja helposti hakemisen. LastPassin hyötyjä ovat sen tarjoama mukavuus, aikaa säästävä ominaisuus ja turvallisempi tapa tallentaa käyttäjätunnuksia ja salasanoja. Sen sijaan, että tallentaisit tällaisia tietoja muistikirjaan, LastPass tarjoaa sinulle virtuaalisen vaihtoehdon, joka on parempi.

Salasanojen hallintasovellusten yleinen idea on, että ne auttavat käyttäjiä säilyttämään salasanansa. Se, miten ne tämän saavuttavat, vaihtelee sovelluksesta toiseen. LastPassin kohdalla kaikki salasanat säilytetään virtuaalisessa holvissa. Vain käyttäjällä itsellään on pääsalasana, joka avaa holvin.

LastPass lukitsee salasanat ja tallentaa ne palvelimelle. Kuten aiemmin mainittiin, tähän pääsee käsiksi vain pääsalasanalla. Yrityksellä itsellään ei ole edes pääsyä tähän salasanaan tai pilvitallennuksen sisältöön. Tämä tarkoittaa, että jos käyttäjä menettää pääsalasanansa, hän ei pysty pääsemään käsiksi holviinsa ikuisesti.

LastPass on saatavilla useimmille laitetyypeille. Voit siis ladata ja käyttää LastPassia Androidilla, iOS:llä, macOS:lla, Linuxilla ja muilla laitteilla. Se tarjoaa myös laajennuksia chromelle.

## LastPassin ominaisuudet

Joitakin LastPassin ainutlaatuisia ominaisuuksia ovat:

### 1. Salasanojen automaattinen luonti

LastPass mahdollistaa uusien ja turvallisten salasanojen luomisen helposti verkkotileillesi. Oletetaan esimerkiksi, että haluat vaihtaa Facebook- tai Instagram-salasanasi; sinun ei tarvitse murehtia läpäisemättömän salasanan keksimisestä. Etsi ja napauta ”Auto Change Password” -vaihtoehtoa LastPass-sovelluksessasi, niin LastPass vaihtaa ja tallentaa salasanan turvallisesti puolestasi.

### 2. Luottokorttitietojen tallennus

Voit turvallisesti ladata luottokorttitietosi ja muut arkaluontoiset tiedot LastPass-alustalle. Siinä on lomakkeita luottokorttitietojen, vakuutustietojen ym. tallentamiseen. Voit jopa mennä askelen pidemmälle ja tallentaa kuvia näistä esineistä. Voit helposti hakea tällaisia tietoja tarvittaessa.

### 3. Salasanojen jakaminen

Voit jakaa salasanoja laitteiden välillä, olivatpa ne sitten omiasi tai jonkun toisen. Esimerkiksi, jos sinun tarvitsee lähettää salasanasi jollekulle, voit tehdä sen turvallisesti alustalla. Lisäksi, jos olet vakavasti kykenemätön toimimaan, luotettu henkilö voi saada pääsyn ja hakea salasanasi.

## 7 seurantaa löydetty LastPass-sovelluksesta

Yleensä LastPassilla on yksi parhaista ominaisuuksista mihin tahansa salasanojen hallintaohjelmaan. Nämä ominaisuudet pitäisi houkutella käyttäjiä hyväksymään heidän tarjouksensa. Kuitenkin äskettäin havaittiin, että salasanojen hallintaohjelman Android-versio sisältää 7 seurantaa. Se varmasti vaikuttaisi siihen luottamustasoon, jota käyttäjillä on sovellukseen.

Ongelmat alkoivat ehkä, kun LastPass ilmoitti rajoittavansa ilmaistarjontaansa merkittävästi. Vieläkin hätkähdyttävämpiä paljastuksia tuli kuitenkin siitä, että sovellus saattoi vaarantaa käyttäjiensä turvallisuuden tällaisten seurantamekanismien läsnäololla.

Löytö seuraa journalisti Mike Kuketzin tekemää intensiivistä tutkimusta. Seitsemästä löydetystä seurantakoodista neljä oli Googlen. Nämä Google-seurantakoodit käsittelevät itse asiassa analytiikkaa ja kaatumisraportointia. Toinen kuului yritykselle nimeltä Segment ja kerää markkinointiin käytettävää dataa. Kahden muun seurantakoodin lähteestä ei ole tunnistettavaa tietoa.

Kuketz paljasti, että ei ole todisteita siitä, että nämä seurantamekanismit todella välittäisivät käyttäjien salasanoja kolmansille osapuolille. Seurantamekanismien käyttämien tietojen analyysi osoittaa, että ne lähettävät tietoja käyttäjän puhelimen merkistä ja mallista. Lisäksi ne välittävät tietoa siitä, käyttääkö käyttäjä biometristä turvallisuutta. Vaikka nämä eivät välttämättä merkitse tietoturvaloukkauksia, niiden läsnäolo on silti huolestuttavaa, erityisesti sovellukselle, jonka on tarkoitus suojata käyttäjiensä yksityisyyttä. Lisäksi kolmansien osapuolien läsnäolo lisää mahdollisuuksia tunkeutumisiin ja murtoihin. On epävarmaa, olisivatko käyttäjät alun perin edes asentaneet sovelluksen, jos he olisivat tienneet tästä seikasta alusta alkaen.

LastPassin edustaja on yrittänyt selventää seurantakoodejen läsnäoloa sovelluksissaan. Hän totesi, että käyttäjien arkaluonteisia tai tunnistettavia henkilötietoja ei seurata. Lisäksi hän totesi, että kerättyä dataa käytetään sovellusten toiminnallisuuksien parantamiseen. Lopuksi edustaja totesi, että käyttäjät voivat halutessaan kieltäytyä analytiikasta milloin tahansa.

## Vaihtoehtoinen sovellus LastPassille

On ymmärrettävää, jos käyttäjä haluaa tehdä täyskäännöksen viimeaikaisten paljastusten valossa, jotka koskevat LastPassia. Tässä tapauksessa kelvollinen vaihtoehto on 1Password. 1Password on kilpaillut LastPassin kanssa pitkään. Molemmilla salasanojen hallintasovelluksilla on samankaltaisia toimintoja, tarjoten turvallisen paikan käyttäjien salasanoille ja käyttäjänimille. Vielä enemmän, se sisällytettiin tutkimukseen, ja tulos osoitti, että siinä ei ollut sisäänrakennettuja seurantaohjelmia.

## Yhteenveto

LastPass-salasananhallinnan sisältämien seurantakoodejen paljastuminen on ehdottomasti pettymys. Käyttäjät voivat kuitenkin helposti kieltäytyä analytiikasta muuttamalla sovelluksen asetuksia. Vaihtoehtoisesti, tällainen käyttäjä voi tutkia vaihtoehtoa LastPassille.