SwiftKey: BlackBox mit dauerhaftem Tracking
Im Rahmen der App-Review-Week prüfe ich am vierten Tag die Android-App SwiftKey (Version 7.3.3.12) – eine Tastatur-App von Microsoft, die Eingaben über Wischgesten entgegennimmt. Beginnen wir mit den Netzwerkverbindungen, die SwiftKey während der Nutzung aufbaut.
App-Start: Unmittelbar nach dem Start (keine Interaktion des Nutzers)
[1] Unmittelbar nach dem Start kontaktiert die App die SwiftKey-Server [jenson.api.swiftkey.com], um Language-Pack-Informationen zu aktualisieren:
GET /swiftkey/sksdk-3.0/sk-7.3.3/market/languagePacksSSL.json HTTP/1.1 Accept-Encoding: gzip, deflate Range: bytes=0- User-Agent: Dalvik/2.1.0 (Linux; U; Android 9; Mi A1 Build/PQ3A.190705.003) Host: jenson.api.swiftkey.com Connection: close
[2] Die Updates für die Sprachpakete (Language-Packs) werden anschließend über einen CloudFront-Server [d4kkhvu20wq9i.cloudfront.net] nachgeladen:
GET /IBKJJOeiM-yv0AqSRcYMHohrHWM6sJTh6w~cp19FYMs_?Expires=1626059537&Signature=BY~wwCvLHrSNLSerg4~ER6g2JOoLqJ2Aczt41FSYfk1XGhqTssTJ22j1D0sAQ80XqCGyYhGDScGDP6QbZ09O5Pec5azbh0OLNa6LV4lYvoAlTFuQtPQ8V-NzMXItZ~g7irKz79l1ktZCmp~E2Hfxva6F0N-tuWE~JGDL6IbqBhfpRaSzwcvkSdq~r8Bdl~3UIdTPPfBnezjU6mlzESFNeyPhL~Rng5fUldGeS51sIeHtCA0iYcrGStRlEAnCWT7PHOYww9jQvzhY9yjwwZCK9DUF0XvB7OugtFBecukRSs1s~KFHPbobrYW6QJ5ntcgLBE0buewPPdmbQsNQuLUrjw__&Key-Pair-Id=APKAI7BMQFQPFZE2WGDA HTTP/1.1 Accept-Encoding: gzip, deflate Range: bytes=0- User-Agent: Dalvik/2.1.0 (Linux; U; Android 9; Mi A1 Build/PQ3A.190705.003) Host: d4kkhvu20wq9i.cloudfront.net Connection: close
[3] Aus der OneDrive-Cloud von Microsoft wird anschließend eine Konfigurationsdatei abgerufen [oneclient.sfx.ms]:
GET /mobile/ts_configuration.jwt HTTP/1.1 User-Agent: Dalvik/2.1.0 (Linux; U; Android 9; Mi A1 Build/PQ3A.190705.003) Host: oneclient.sfx.ms Connection: close Accept-Encoding: gzip, deflate
[4] Anschließend wird noch eine Verbindung zum Dienstleister HockeyApp initiiert, der zu Microsoft gehört und sich auf die Analyse von Nutzerverhalten und Absturzberichte von Apps spezialisiert hat [gate.hockeyapp.net]:
POST /v2/track HTTP/1.1 Content-Encoding: gzip Content-Type: application/x-json-stream User-Agent: Dalvik/2.1.0 (Linux; U; Android 9; Mi A1 Build/PQ3A.190705.003) Host: gate.hockeyapp.net Connection: close Accept-Encoding: gzip, deflate Content-Length: 431 [zusätzlich verschlüsselt]
Aufgrund der zusätzlichen Verschlüsselung der Inhaltsdaten lässt sich leider keine Aussage darüber treffen, welche Daten an den Dienst übermittelt werden.
Konfiguration: SwiftKey aktivieren
[1] Damit die App Push-Nachrichten und ähnliches empfangen kann, registriert sie sich am Android-Cloud-to-Device-Messaging-Dienst (C2DM). Dabei übermittelt die App unter anderem folgende Informationen an Google-Server [android.clients.google.com]:
- Versionsnummer der App: 7.3.3.12
- Paketname der App: com.touchtype.swiftkey
- GCM-Version: 17785039
- SDK: 28
- […]
Nach der Einrichtung der SwiftKey-Tastatur nehme ich KEINE Anmeldung bei SwiftKey vor – ich wähle also den Button Jetzt nicht
. Und bei der Abfrage »Zur Verbesserung von SwiftKey beitragen« wähle ich ebenfalls Jetzt nicht
.
Während der Einrichtung der Tastatur sendet die App fleißig Daten an den HockeyApp-Tracker-Dienst. Wie bereits erwähnt, sind diese bedauerlicherweise nicht einsehbar.
Nutzung der App
Während der Nutzung werden in kontinuierlichen Abständen Daten an den HockeyApp-Server versendet – obwohl unter Optionen die Auswahl
Helfen, SwiftKey noch besser zu machen, indem Sie teilen, was und wie Sie schreiben
nicht aktiviert ist. Zur Erinnerung: Im Rahmen der Einrichtung habe ich der »Verbesserung von SwiftKey« nicht zugestimmt – als Nutzer würde ich dann eigentlich davon ausgehen, dass weder Absturzberichte noch Analysedaten übermittelt werden. Die Datenmitschnitte zeigen allerdings, dass SwiftKey auch weiterhin Tracking-Daten an den Dienstleister HockeyApp versendet. Die Datenschutzerklärung sollte darüber Auskunft geben.
Kurzcheck der Datenschutzerklärung
Im Google Play Store wird auf diese Datenschutzerklärung verlinkt. Außer allgemeinen Informationen finde ich dort keinen einzigen Hinweis zu SwiftKey bzw. welche Daten im Rahmen der App-Nutzung an HockeyApp übermittelt werden. Auch innerhalb der App verweist der Link auf dieselbe Datenschutzerklärung. Unter diesen Umständen ist es praktisch unmöglich, sich eine informierte Meinung zu bilden, welche Daten nun erhoben und verarbeitet werden. Transparenz sieht für mich anders aus. Das ist wirklich schwach, Microsoft. Die Eingangsfloskel in der Datenschutzerklärung ist auch nicht gerade vertrauenerweckend:
Der Schutz Ihrer Daten ist uns sehr wichtig.
Ein Schelm, wer böses dabei denkt…
Fazit
SwiftKey übermittelt ständig Tracking-Daten an HockeyApp – obwohl man aufgrund der ausgewählten Optionen eigentlich davon ausgehen könnte, dass ebendieses Tracking unterlassen wird. Schlimmer: In der Datenschutzerklärung findet sich kein Hinweis zu SwiftKey oder welche Daten im Rahmen der App-Nutzung erhoben, gesammelt und verarbeitet werden. Unter diesen Umständen hat man es mit einer Blackbox zu tun, die einem im Unklaren lässt, was bei der App-Nutzung eigentlich passiert.