セキュリティ研究者が、人気のパスワードマネージャー「LastPass」に内蔵されている7つのトラッカーについて詳細を明かした。これらのトラッカーは、同社や他の広告主がアプリのユーザーに向けたターゲット広告を作成するために利用できる可能性がある。
ドイツのセキュリティ研究者マイク・クケッツ氏は、Google Play ストアだけで 1,000 万件以上インストールされているパスワード マネージャーの LastPass Android アプリ内に 7 つのトラッカーを発見しました。
関係する追跡者は次のとおりです。
- アプリフライヤー
- Googleアナリティクス
- Google クラッシュリティクス
- Google Firebase アナリティクス
- Google タグ マネージャー
- ミックスピクセル
- セグメント
ソーシャルメディアやオンラインショッピングといった特定のアプリでは、トラッカーが当たり前のように搭載されている。研究者たちは、パスワード保管アプリにトラッカーを組み込むことには、ある種の陰険さが感じられると指摘している。
クケッツ氏は、Android版LastPassを起動した直後、ユーザーがアプリを操作する前に7つの追跡アプリのうち6つが起動してしまうことを指摘しています。また、ユーザーがサードパーティプロバイダーへのデータ送信に同意するかどうかを尋ねられる場面は一切ないことも指摘しています。
テスト中、クケッツ氏は、このアプリがユーザーが使用しているデバイス、アプリが無料で使用されているかサブスクリプションで使用されているか、ユーザーが生体認証ロックの使用を希望しているかどうかを追跡していることを発見した。
LastPassのAndroid版も、アプリの使用中はユーザーを追跡し続けます。トラッカーはパスワード自体のような機密情報を取得できない場合もありますが、それ以外のほぼすべての情報を追跡します。
追跡されるデータには、パスワードがいつ作成されたか、ユーザーが作成しているアカウントの種類(ソーシャルメディアのプロフィールか銀行口座やクレジットカードのアカウントかなど)、ユーザーのIPアドレス、ユーザーの現在地などが含まれます。この追跡に異議を唱えたり、オプトアウトしたりする方法はありません。ユーザーは、今後の追跡を防ぐためにアプリをアンインストールする必要があります。
続く投稿で、クケッツ氏は読者とLastPassのサポートのやりとりを紹介した。サポートは、アプリにトラッカーが一切含まれていないことを2度にわたり強く否定した。
LastPass の iOS 版や macOS 版にトラッカーが存在することは確認されていないが、iOS ベータ版の「栄養成分表示」をざっと見てみると、トラッカーが存在する可能性も否定できないようだ。
具体的には、LastPass iOS アプリは、ユーザーの位置情報、使用状況データ、連絡先情報、一部のユーザー コンテンツを追跡します。これらはすべて集計されて広告主に販売され、広告主はその情報を使用してユーザーをターゲットにした広告を表示できます。
The Registerは、LastPassだけがトラッカー機能を備えているわけではないと指摘しています。BitwardenとDashlaneはどちらもトラッカー機能を備えており、それぞれ2つと4つです。しかし、LastPassのライバルである1PasswordとオープンソースのKeePassにはトラッカー機能が全くありません。
LastPassの広報担当者はThe Registerに対し、トラッカーは存在するものの、個人を特定できるユーザーデータやパスワードアクティビティがトラッカーを通過することはないと認めた。同社は、トラッカーは製品の改善に役立てられる限定的な集計統計データのみを収集していると主張した。
この情報は、特に残念なタイミングで発表されました。LastPassは最近、無料プランのアカウントに制限を導入し、パソコンまたはモバイルデバイスのいずれかでのみ利用可能にしました。さらに、無料プランの会員向けのメールサポートは3月17日をもって終了します。この変更を受けて、多くのユーザーがサービスからの退会を表明しています。
