Microsoft reagiert auf mein kritisches App-Review zur MS Authenticator-App
Letztes Jahr im September habe ich die Microsoft Authenticator-App einem Kurztest unterzogen. Nun liegt eine Reaktion von Microsoft vor:
Hallo Herr Kuketz,
Mein Name ist XY und ich bin Program Manager in der Identity Engineering Division bei Microsoft, das ist das Team welches alle Identity Produkte inkl. Der Authenticator App bei uns entwickelt und betreibt. Ihr Blog Artikel hat es über Umwege zu uns geschafft und wir haben die Thematik ausgiebig mit den zuständigen Entwicklern diskutiert und wie wir eine bessere Transparenz für die App schaffen können.
Microsoft Authenticator-App: Sicherkritische App mit Tracking-Bibliotheken – Bad idea!
Die Authenticator App ist inzwischen eine der meist genutzten MFA und passwordless Auth Apps und die meisten unserer Großkunden haben sie im Einsatz. Daher ist es uns wichtig dass die User sie mit gutem Gewissen verwenden können. Unsere Entwickler haben alle Tracker welche in Ihrem Blog genannt wurden nochmals genau geprüft und wir haben eine Zusammenfassung erstellt warum diese Tracker im Code vorkommen und welche Aufgaben sie erfüllen. Diese Informationen sind nicht confidential und können gerne verwendet werden. Ich hoffe wir konnten die Unklarheiten über die Tracker hiermit aufklären. Bitte lassen Sie mich wissen wenn sie weitere Fragen oder Anregungen zu Azure AD oder unseren Identity Produkten haben.
———————————————————
We would like to clarify what these libraries are used for within Authenticator:
- Adjust – We use this to encourage our users to use certain Authenticator features and not for advertising.
- Google Analytics – We do not use this in the app, at one point it might have been embedded in the code by a transitive library that came with Adjust. However, we no longer have it now.
- Google firebase analytics – This is used by google play store to track application notifications. This means that it is not included in the Authenticator but may be noticed since we publish the Android app via Google Play Store.
- Microsoft Visual studio app center analytics – This is the library we use to manage our app’s usage and health data which does not contain any personal identifiable information.
- Microsoft Visual studio app center crashes – This is the library we use to manage our app’s crash data which does not contain any personal identifiable information.
- Open telemetry – This is also embedded as a transitive library that came with one of Google’s HTTP libraries. We do not use it to collect or track any data.
With this kindly note none of these libraries have been used to collect, share or use this data for advertising purposes.
For more information on how we handle privacy and telemetry please visit Microsoft Privacy Statement – Microsoft privacy.
———————————————————
Viele Grüße
XY
Tja, was soll ich dazu sagen. Ein bisschen Erklärung auf Englisch, für welchen Zweck die Tracker eingesetzt werden, beseitigt die Probleme nicht. Und so ganz kann ich die Aussagen auch nicht nachvollziehen:
Google Analytics – We do not use this in the app, at one point it might have been embedded in the code by a transitive library that came with Adjust. However, we no longer have it now.
In der neuesten Version 6.2202.0982 ist der Tracker nach wie vor auffindbar.
Aus meiner Sicht verstößt die App weiterhin gegen die DSGVO und auch das neue TTDSG. Tipp an Microsoft:
- DSK: Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021)
- LfDI Baden-Württemberg: FAQ zu Cookies und Tracking.
Lesen -> Verstehen -> Umsetzen!