Die App-Review-Week startet mit der Android-App Enpass (Version 6.1.0.227) – ein proprietärer Passwort-Manager, der optional eine Cloud-Anbindung mitbringt, um die Tresore bzw. Passwörter geräteübergreifend über eine Cloud zu synchronisieren. Beginnen wir mit den Netzwerkverbindungen, die Enpass während der Nutzung aufbaut.

App-Start: Unmittelbar nach dem Start (keine Interaktion des Nutzers)

Stille. Es wird keine Verbindung aufgebaut.

Inbetriebnahme (Neuer Benutzer)

Nach der Vergabe des Master-Passworts baut Enpass eine Verbindung zur Gegenstelle »rest.enpass.io« auf und versendet dabei folgende Informationen:

Package-Name: io.enpass.app
Android-Version: 9
App-Version: 6.1.0.227
Verwendete Sprache: de

GET /enpass/alert/?package=io.enpass.app&os=9&version=6.1.0.227&version_code=227&language=de%7Cde HTTP/1.1
Host: rest.enpass.io
User-Agent: Mozilla/5.0
Accept: */*
Connection: close

Es handelt sich dabei offenbar um eine Art »Ping« bzw. Übermittlung von Meta-Informationen. Die Übertragung der Informationen findet nicht nur einmalig statt, sondern auch dann, wenn die App vollständig beendet wurde und erneut nach dem Master-Passwort fragt.

Während der Nutzung

Während der Testphase baut Enpass keine weitere Verbindung mit einem Server im Internet auf. Erst wenn ein Tresor bzw. Passwortdatenbank mit einem Cloud-Anbieter (Google, Dropbox, iCloud) oder einer privaten Cloud (Nextcloud) synchronisiert werden soll, werden entsprechende Verbindungen initiiert.

Enpass bietet ebenfalls die Funktion, seine Passwörter mit der haveibeenpwned.com-Datenbank abzugleichen, um festzustellen, ob das Passwort bereits kompromittiert wurde. Vor der Verwendung gibt Enpass allerdings folgende Warnung aus:

Enpass wird eine Verbindung zum Internet herstellen, um die Passwörter des Tresors Standard mit haveibeenpwned.com abzugleichen.

Man hat dann die Auswahl zwischen Abbrechen und Fortfahren. Tippt man auf Fortfahren, übermittelt Enpass nicht das Passwort, sondern arbeitet auf Basis des k-Anonymity-Modells. Die ersten fünf Zeichen werden mit SHA-1 gehasht und an haveibeenpwned.com übermittelt. Als Antwort erhält man eine Liste mit kompromittierten Passwörtern, die mit den gleichen fünf Zeichen beginnen. Enpass vergleicht dann lokal den Hash der Passwörter mit der Liste. Wenn es ein passendes Passwort findet, erhält man eine Warnung:

GET /range/7c4a8 HTTP/1.1
Host: api.pwnedpasswords.com
User-Agent: Mozilla/5.0
Accept: */*
Connection: close

Kurzcheck der Datenschutzerklärung

Die Datenschutzerklärung ist relativ übersichtlich und allgemein gehalten. Eine Anpassung an Anforderungen der DSGVO kann ich nicht erkennen. Bedenklich ist der folgende Absatz:

Sinew do not collect any other personal information from our products until & unless it is explicitly specified. Sinew may track the user’s behavior on our products using the third party analytics tools to make our products better to use.

Innerhalb der Enpass-App sind (aktuell) keine Tracker verbaut, die das Nutzerverhalten analysieren. Allerdings räumt sich Enpass bzw. die Sinew Software Systems Pvt. Ltd grundsätzlich das Recht dazu ein.

Fazit

Enpass bindet in der aktuellen App-Version keine Tracker ein. Allerdings sendet die App nach jeder Eingabe des Master-Passworts einen »Ping« an den Hersteller. Darin sind zwar keine sensiblen Informationen enthalten, dennoch lässt sich dieses Verhalten über die Optionen nicht deaktivieren.

Abgesehen von diesem »Ping« hinterlässt Enpass einen soliden Eindruck. Es werden erst dann Verbindungen mit Drittanbietern aufgebaut, wenn diese bspw. zur Speicherung bzw. Synchronisation genutzt werden. Persönlich würde ich den Passwort-Manager allerdings nicht benutzen, da er nicht quelloffen ist.

Die Datenschutzerklärung macht auf mich einen kurzen und unvollständigen Eindruck. Hier könnte der Nutzer besser informiert werden.

Der Kuketz-Blog ist spendenfinanziert! Mitmachen ➡