セキュリティ研究者がLastPassパスワードマネージャーのAndroidアプリに7つのトラッカーを発見

最近、アプリがトラッカーに感染しているという話を聞くことは珍しくありません。これの一般的な理由は、データに対する高い価値観です。広告会社からサイバー犯罪者に至るまで、様々なアクターがデータを収集し、利用する方法をますます探しています。人々は通常、他のアプリのトラッカーをすぐに特定してブロックしますが、パスワードマネージャーに関してはそう熱心ではありません。これは、パスワードマネージャーがプライバシーの灯台であるべきだからです。したがって、いくつかのパスワードマネージャーが実際にはアプリにトラッカーを許可することでユーザーのプライバシーを露出させていることを発見すると、さらに不安になります。

LastPassとは何ですか？

LastPassは、ユーザーがパスワードやユーザー名を生成、保存、簡単に取り出すことができるパスワードマネージャーです。LastPassの利点のいくつかは、便利で時間の節約になり、ユーザー名とパスワードを保存するよりも安全な方法であることです。ノートブックにそのような情報を保存するのではなく、LastPassはより良い仮想の代替手段を提供します。

パスワードマネージャーの一般的な考え方は、ユーザーがパスワードを保存できるようにすることです。しかし、これを実現する方法はアプリによって異なります。LastPassの場合、すべてのパスワードは仮想の金庫に保存されます。金庫を開けるマスターパスワードはユーザー自身だけが持っています。

LastPassはパスワードをロックし、それらをサーバーに保存します。前述の通り、これにアクセスできるのはマスターパスワードを使った場合のみです。会社自体もこのパスワードやクラウドストレージの内容にはアクセスできません。これは、ユーザーがマスターパスワードを失った場合、永遠に自分の保管庫にアクセスできなくなることを意味します。

LastPassはほとんどのデバイスタイプで利用可能です。したがって、Android、iOS、macOS、LinuxなどのデバイスでLastPassをダウンロードして使用できます。また、chromeの拡張機能も提供しています。

LastPassの機能

LastPassのユニークな機能のいくつかは以下の通りです：

### 1. パスワードの自動生成

LastPassを使用すると、オンラインアカウント用の新しく安全なパスワードを簡単に作成できます。例えば、FacebookやInstagramのパスワードを変更したい場合、突破不可能なものを考え出す心配はありません。LastPassアプリで「自動パスワード変更」を探してタップすると、LastPassがパスワードを変更して安全に保存してくれます。

### 2. クレジットカード詳細の保存

クレジットカード情報やその他の機密データをLastPassプラットフォームに安全にアップロードできます。クレジットカード、保険情報などに関連する情報を保存するためのフォームがあります。さらに、これらのアイテムの写真を保存することもできます。必要なときに、そのようなデータを簡単に取り出すことができます。

### 3. パスワードの共有

デバイス間でパスワードを共有することができます。自分のデバイスであっても、他人のデバイスであってもです。例えば、誰かにパスワードを送る必要がある場合、そのプラットフォーム上で安全に行うことができます。また、重度に不自由な状態にある場合、信頼できる人がアクセスしてパスワードを取得することができます。

LastPassアプリに7つのトラッカーが発見されました

通常、LastPassはパスワードマネージャーの中で最高の機能の一つを持っています。これらの機能は、ユーザーに彼らのオファーに同意するよう促すべきです。しかし、最近、パスワードマネージャーのAndroidバージョンに7つのトラッカーが組み込まれていることが発見されました。それは確かに、ユーザーがアプリに対して持つ信頼度に影響を与えるでしょう。

問題はおそらく、LastPassが無料オファリングを大幅に制限すると発表したときに始まったかもしれません。しかし、さらに驚くべき啓示は、そのようなトラッカーの存在により、アプリがユーザーのセキュリティを損なっている可能性があることを明らかにしました。

この発見は、ジャーナリストのMike Kuketzによる徹底的な調査の結果として明らかになりました。発見された7つのトラッカーのうち、4つはGoogleからのものでした。これらGoogleのトラッカーは、実際には分析とクラッシュ報告を扱っています。別の1つはSegmentという会社に属しており、マーケティング用のデータを収集します。残りの2つのトラッカーの出所については、特定の情報はありません。

Kuketzは、これらのトラッカーが実際にユーザーのパスワードを第三者に転送する証拠がないことを明らかにしました。トラッカーがアクセスするデータの分析によると、ユーザーの電話のメーカーとモデルに関する詳細を伝達します。さらに、ユーザーが生体認証セキュリティを使用しているかどうかについての情報も伝えます。これらが特定のデータ侵害にはならないかもしれませんが、ユーザーのプライバシーを保護することになっているアプリの存在はそれでも不安を感じさせます。さらに、第三者の存在は侵入や侵害の可能性を高めます。ユーザーが最初からこの事実を知っていたら、そもそもアプリを利用することを進めたかどうか疑問です。

LastPassの広報担当者は、そのアプリにトラッカーが存在することについて説明を試みました。それによると、ユーザーの機密性が高い情報や識別可能な個人情報は追跡されていないとのことです。さらに、生成されたデータはアプリの機能を向上させるために使用されると述べました。最後に、ユーザーはいつでもアナリティクスからオプトアウトできると広報担当者は述べています。

LastPassの代替アプリ

最近のLastPassに関する暴露があったため、ユーザーがUターンを考えるのは理解できます。その場合、1Passwordが有効な代替手段です。1Passwordは長い間LastPassと競合してきました。両方のパスワードマネージャーは似たような機能を提供し、ユーザーのパスワードとユーザー名の安全な場所を提供します。さらに、研究に含まれ、組み込まれたトラッカーがないことが結果で示されました。

## 結論

LastPassのパスワードマネージャーにトラッカーが組み込まれていることが発見されたのは、確かにがっかりです。しかし、ユーザーはアプリの設定を変更することで、簡単にアナリティクスからオプトアウトできます。または、そのようなユーザーはLastPassの代替品を探ることもできます。