Vice bringt Zoom dazu, das Facebook-Tracking aus seiner iOS-App zu entfernen

Name and Shame kann funktionieren

Veröffentlicht von Pixel de Tracking am 28. März 2020

Eine Recherche von Vice zeigt: Zoom für iOS sendet Daten an Facebook

Am vergangenen Donnerstag (26. März) enthüllte Vice, dass Zoom Daten an Facebook sendet, wenn Sie seine iOS-App nutzen. Konkret informiert Zoom Facebook darüber, wann Sie die App öffnen, wann Sie sie schließen, und sendet Informationen wie die Werbe-ID, Ihre IP-Adresse, Ihre Stadt oder Ihr Smartphone-Modell. Und das selbst dann, wenn Sie kein Facebook-Konto haben. Ein weiteres von Vice genanntes Problem: Zoom informiert die Nutzer in seiner Datenschutzerklärung nicht über das Facebook-Tracking. Tatsächlich erwähnt Zoom Facebook-Tracking zwar unter „Collection of your Personal Data“, aber nur, um anzugeben, dass Profilinformationen von Facebook abgerufen werden, wenn Sie Ihr Zoom-Konto über Facebook erstellen:

Profilinformationen von Facebook (wenn Sie Facebook nutzen, um sich bei unseren Produkten anzumelden, oder um ein Konto für unsere Produkte zu erstellen)

Keine Erwähnung hingegen eines Facebook-Trackings, wenn Sie den Facebook-Login nicht verwenden, um auf Zoom zuzugreifen.

Das Timing der Vice-Recherche ist hervorragend: Zoom profitiert mitten im Corona-Lockdown vom Boom der Telearbeit, mit einer Verzwölffachung der Downloads und einer explodierenden Börsenbewertung.

Neugierig, dieses Datenleck selbst zu sehen, bin ich auf meinem iPhone folgendermaßen vorgegangen:

  • Schließen der verschiedenen geöffneten Apps
  • Start von Charles Proxy und Aktivierung der Aufzeichnung
  • Start von Zoom
  • Export der Logs auf meinen Computer zur Analyse

Tracking_Zoom_iOS_Facebook

Zoom nutzt Facebook tatsächlich und sendet genau die von Vice gemeldeten Informationen. Bemerkenswert ist, dass Facebook der einzige Dritte ist, der Informationen von Zoom erhält. Vice weist nur auf ein Problem unter iOS hin, aber da ich Zoom auf meinem Computer nutze (wie vermutlich die meisten beruflichen Zoom-Nutzer), wollte ich das Tracking auf dem Mac testen. Ich habe also dasselbe Verfahren wie unter iOS befolgt, diesmal mit der Mac-Version von Charles Proxy:

Zoom_on_Mac

Die Zoom-App auf dem Mac sendet keine Informationen an Dritte, also auch nichts an Facebook.

Zooms Reaktion am Tag nach dem Vice-Artikel

Zoom wartete nicht lange, um sich über seinen CEO für dieses Tracking zu entschuldigen und das für das Datenleck verantwortliche Facebook SDK zu entfernen. Die Erklärung für dieses Tracking ist interessant: Die Implementierung des Facebook SDK sollte es Nutzern ermöglichen, ihr Zoom-Konto zu erstellen und sich anschließend über Facebook einzuloggen.

Diese Funktion ist zwar invasiv, wird aber von manchen Nutzern geschätzt, weil sie die Kontoerstellung vereinfacht. Direkt im Code der App implementiert (das „Facebook SDK“ für iOS), ermöglicht sie Facebook jedoch eine systematische Erfassung Ihrer Daten:

  • Facebook erhält Ihre Daten auch dann, wenn Sie Ihr Zoom-Konto ohne Facebook erstellen oder sich ohne Facebook einloggen (zum Beispiel über Ihre E-Mail-Adresse)
  • Facebook erhält Ihre Daten auch dann, wenn Sie kein Facebook-Konto haben (Daten, die einem Identifikator zugeordnet sind)

Ebenfalls interessant: Zoom hat die Kontoerstellung über Facebook nicht entfernt, sondern in den Browser ausgelagert. Nutzer, die ihr Zoom-Konto über Facebook erstellen möchten, können das weiterhin tun, aber das Facebook-Tracking ist für die anderen Nutzer tatsächlich entfernt. Eric S. Yuan kündigt an, die Implementierungsprozesse für solche Funktionen zu überprüfen, damit sich dieser Fehler nicht wiederholt.

Um die tatsächliche Entfernung des Facebook-Trackings zu überprüfen, habe ich die App auf meinem iPhone aktualisiert (beachten Sie, wie Zoom über das Update kommuniziert: „Improvements to Facebook Login“).

Zoom_update_iPhone

Und tatsächlich ist das Facebook-Tracking verschwunden:

Zoom_iPhone_after_update

Die Macht von Recherchen über Tracking

Tracking ist in Apps leider weit verbreitet, und Zoom ist hier nicht einmal der schlimmste Fall. Viele Apps nutzen SDKs von Google, Facebook oder anderen Marketingunternehmen, von denen Sie noch nie gehört haben, und lassen darüber oft deutlich sensiblere personenbezogene Daten abfließen (wie Ihren Namen, Ihre E-Mail-Adresse oder Ihre Geolokalisierung). Der Ursprung dieses Skandals?

  • Die Nachgiebigkeit von Apple und Google in ihren jeweiligen App Stores: Jeder App-Entwickler kann beliebig viele SDKs von Drittunternehmen verwenden, und diese Dritt-SDKs können auf Ihre personenbezogenen Daten zugreifen.
  • Der Mangel an Transparenz und Kontrolle: App-Entwickler liefern nur sehr selten die nötigen Informationen und Kontrollmöglichkeiten zur Übermittlung Ihrer personenbezogenen Daten an Dritte. Hier müsste die DSGVO das Problem lösen, aber von einer tatsächlichen Anwendung sind wir noch weit entfernt.

Es ist dennoch ermutigend zu sehen, dass eine einfache Recherche von Vice ausgereicht hat, um das Tracking-Problem bei Zoom zu beheben.