Mike Kuketz
18. Juli 2019 | 07:13 Uhr

SwiftKey: BlackBox mit dauerhaftem Tracking

Im Rahmen der App-Review-Week prüfe ich am vierten Tag die Android-App SwiftKey (Version 7.3.3.12) – eine Tastatur-App von Microsoft, die Eingaben über Wischgesten entgegennimmt. Beginnen wir mit den Netzwerkverbindungen, die SwiftKey während der Nutzung aufbaut.

App-Start: Unmittelbar nach dem Start (keine Interaktion des Nutzers)

[1] Unmittelbar nach dem Start kontaktiert die App die SwiftKey-Server [jenson.api.swiftkey.com], um Language-Pack-Informationen zu aktualisieren:

GET /swiftkey/sksdk-3.0/sk-7.3.3/market/languagePacksSSL.json HTTP/1.1
Accept-Encoding: gzip, deflate
Range: bytes=0-
User-Agent: Dalvik/2.1.0 (Linux; U; Android 9; Mi A1 Build/PQ3A.190705.003)
Host: jenson.api.swiftkey.com
Connection: close

[2] Die Updates für die Sprachpakete (Language-Packs) werden anschließend über einen CloudFront-Server [d4kkhvu20wq9i.cloudfront.net] nachgeladen:

GET /IBKJJOeiM-yv0AqSRcYMHohrHWM6sJTh6w~cp19FYMs_?Expires=1626059537&Signature=BY~wwCvLHrSNLSerg4~ER6g2JOoLqJ2Aczt41FSYfk1XGhqTssTJ22j1D0sAQ80XqCGyYhGDScGDP6QbZ09O5Pec5azbh0OLNa6LV4lYvoAlTFuQtPQ8V-NzMXItZ~g7irKz79l1ktZCmp~E2Hfxva6F0N-tuWE~JGDL6IbqBhfpRaSzwcvkSdq~r8Bdl~3UIdTPPfBnezjU6mlzESFNeyPhL~Rng5fUldGeS51sIeHtCA0iYcrGStRlEAnCWT7PHOYww9jQvzhY9yjwwZCK9DUF0XvB7OugtFBecukRSs1s~KFHPbobrYW6QJ5ntcgLBE0buewPPdmbQsNQuLUrjw__&Key-Pair-Id=APKAI7BMQFQPFZE2WGDA HTTP/1.1
Accept-Encoding: gzip, deflate
Range: bytes=0-
User-Agent: Dalvik/2.1.0 (Linux; U; Android 9; Mi A1 Build/PQ3A.190705.003)
Host: d4kkhvu20wq9i.cloudfront.net
Connection: close

[3] Aus der OneDrive-Cloud von Microsoft wird anschließend eine Konfigurationsdatei abgerufen [oneclient.sfx.ms]:

GET /mobile/ts_configuration.jwt HTTP/1.1
User-Agent: Dalvik/2.1.0 (Linux; U; Android 9; Mi A1 Build/PQ3A.190705.003)
Host: oneclient.sfx.ms
Connection: close
Accept-Encoding: gzip, deflate

[4] Anschließend wird noch eine Verbindung zum Dienstleister HockeyApp initiiert, der zu Microsoft gehört und sich auf die Analyse von Nutzerverhalten und Absturzberichte von Apps spezialisiert hat [gate.hockeyapp.net]:

POST /v2/track HTTP/1.1
Content-Encoding: gzip
Content-Type: application/x-json-stream
User-Agent: Dalvik/2.1.0 (Linux; U; Android 9; Mi A1 Build/PQ3A.190705.003)
Host: gate.hockeyapp.net
Connection: close
Accept-Encoding: gzip, deflate
Content-Length: 431

[zusätzlich verschlüsselt]

Aufgrund der zusätzlichen Verschlüsselung der Inhaltsdaten lässt sich leider keine Aussage darüber treffen, welche Daten an den Dienst übermittelt werden.

Konfiguration: SwiftKey aktivieren

[1] Damit die App Push-Nachrichten und ähnliches empfangen kann, registriert sie sich am Android-Cloud-to-Device-Messaging-Dienst (C2DM). Dabei übermittelt die App unter anderem folgende Informationen an Google-Server [android.clients.google.com]:

  • Versionsnummer der App: 7.3.3.12
  • Paketname der App: com.touchtype.swiftkey
  • GCM-Version: 17785039
  • SDK: 28
  • […]

Nach der Einrichtung der SwiftKey-Tastatur nehme ich KEINE Anmeldung bei SwiftKey vor – ich wähle also den Button Jetzt nicht. Und bei der Abfrage »Zur Verbesserung von SwiftKey beitragen« wähle ich ebenfalls Jetzt nicht.

Während der Einrichtung der Tastatur sendet die App fleißig Daten an den HockeyApp-Tracker-Dienst. Wie bereits erwähnt, sind diese bedauerlicherweise nicht einsehbar.

Nutzung der App

Während der Nutzung werden in kontinuierlichen Abständen Daten an den HockeyApp-Server versendet – obwohl unter Optionen die Auswahl

Helfen, SwiftKey noch besser zu machen, indem Sie teilen, was und wie Sie schreiben

nicht aktiviert ist. Zur Erinnerung: Im Rahmen der Einrichtung habe ich der »Verbesserung von SwiftKey« nicht zugestimmt – als Nutzer würde ich dann eigentlich davon ausgehen, dass weder Absturzberichte noch Analysedaten übermittelt werden. Die Datenmitschnitte zeigen allerdings, dass SwiftKey auch weiterhin Tracking-Daten an den Dienstleister HockeyApp versendet. Die Datenschutzerklärung sollte darüber Auskunft geben.

Kurzcheck der Datenschutzerklärung

Im Google Play Store wird auf diese Datenschutzerklärung verlinkt. Außer allgemeinen Informationen finde ich dort keinen einzigen Hinweis zu SwiftKey bzw. welche Daten im Rahmen der App-Nutzung an HockeyApp übermittelt werden. Auch innerhalb der App verweist der Link auf dieselbe Datenschutzerklärung. Unter diesen Umständen ist es praktisch unmöglich, sich eine informierte Meinung zu bilden, welche Daten nun erhoben und verarbeitet werden. Transparenz sieht für mich anders aus. Das ist wirklich schwach, Microsoft. Die Eingangsfloskel in der Datenschutzerklärung ist auch nicht gerade vertrauenerweckend:

Der Schutz Ihrer Daten ist uns sehr wichtig.

Ein Schelm, wer böses dabei denkt…

Fazit

SwiftKey übermittelt ständig Tracking-Daten an HockeyApp – obwohl man aufgrund der ausgewählten Optionen eigentlich davon ausgehen könnte, dass ebendieses Tracking unterlassen wird. Schlimmer: In der Datenschutzerklärung findet sich kein Hinweis zu SwiftKey oder welche Daten im Rahmen der App-Nutzung erhoben, gesammelt und verarbeitet werden. Unter diesen Umständen hat man es mit einer Blackbox zu tun, die einem im Unklaren lässt, was bei der App-Nutzung eigentlich passiert.

Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡
Ähnliche Beiträge
eBay Kleinanzeigen
24. Oktober 2022

eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3

Der Datenschutz verkommt bei eBay Kleinanzeigen zur Ramschware. Am Ende heißt es »Datenschutz: Was letzte Preis?«.
Booking.com
11. Mai 2023

Booking.com: Datenschutzrechtliche Bruchlandung mit Ansage – App-Check Teil4

Die Datenschutzverletzungen von Booking.com sind vergleichbar mit einem verheerenden Verkehrsunfall, bei dem man einfach nicht wegsehen kann.
Post & DHL App
20. Juni 2022

Post & DHL: Datenschutz unbekannt verzogen – App-Check Teil2

Der Datenschutz ist bei der Post-&-DHL-App offensichtlich unbekannt verzogen.
DB Navigator
11. April 2022

DB Navigator: Datenschutz fällt heute aus – App-Check Teil1

Die Analyse des DB Navigators offenbart eklatante Verstöße gegen die DSGVO und das TTDSG. Ist das Vorsatz oder Unfähigkeit?
Avira Consent-Banner
29. November 2021

Avira Security Antivirus & VPN: Tracking ohne Zustimmung

Das vorliegende Android-Review befasst sich mit der Android-App Avira Security Antivirus & VPN (Version 7.9.1). Die App wird von der…
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.