Tootle for Mastodon은 마지막 업데이트인 버전 1.11.6이 2020/04/28에 공개된 이후, 약 5년 7개월 동안 업데이트되지 않은... 사실상 방치된 앱입니다. 하지만 대체할 만한 앱을 찾기 어려울 정도로 편리한 앱이기도 합니다. 애용하는 사람이 많을 것이라고 생각합니다.

Tootle for Mastodon https://apps.apple.com/jp/app/id1236013466

다만, 아무래도 오래된 앱이다 보니 새로운 Mastodon 기능을 지원하지 않습니다. 단순히 사용할 수 없는 기능이 있는 정도라면 괜찮지만, 지원하지 않는 알림이 오면 앱이 강제 종료되는 등 어려운 부분도 많습니다.

참고로, Fedibird는 Tootle이 지원하지 않는 알림을 보내지 않도록 설정되어 있어서, Fedibird에서 사용할 때는 알림으로 인해 앱이 종료되는 일은 없습니다.

또한, 서버의 알림을 Tootle에서 받으려면 Mastodon 서버가 보내는 알림을 Apple의 알림 서버로 중계하는 서버를 운영해야 하는데, 이 서버가 자주 지연되거나 다운되곤 합니다. 그래도 아직까지 존재하고 있다는 것 자체가 대단합니다.

또 하나, 유료 기능을 사용하기 위해 결제하려고 할 때 결제 화면에서 앱이 종료되는 버그도 있습니다. 이를 우회하는 방법은 다음과 같습니다. https://fedibird.com/@noellabo/106287295199341279

그리고 개인정보 보호 측면에서 우려가 있다는 이야기도 있습니다.

• 개인정보 처리방침이 공개되어 있지 않음
• Tootle로 전환하기만 해도 클립보드에 접근하려 한다는 경고가 표시됨
• 등록된 서버 이외의 서버에 접근함
• 소스가 공개되어 있지 않아 이러한 동작이 실제로 문제가 있는지 검증할 수 없음

등입니다.

등록된 서버 이외의 접근에 관해서는, 실제로 시험해보면 app-measurement.com으로의 접근이 확인됩니다. 이는 Google Analytics for Firebase용 원격 측정 수집 서버라고 하며, 사용자를 식별하는 ID 외에도 사용 중인 iOS 버전 등 몇 가지 정보를 전송하고 있습니다.

대략 이런 내용이었습니다. 제 각종 ID는 "REDACTED"로 대체되어 있습니다.

이 데이터는 Tootle 앱이 Google Analytics for Firebase로 전송하는 원격 측정 데이터의 JSON 형식입니다. 주요 내용을 분석해보면:

1. 사용자 세션 정보:

   • 다양한 화면 전환 기록 (MainContainerViewController, NotificationListViewController, SimpleStatusListViewController 등)
   • 각 화면에서 머문 시간 ("_et" 필드에 밀리초 단위로 기록)
   • 화면 전환 타임스탬프

2. 기기 및 앱 정보:

   • iOS 버전: 18.7.1 (필드 9)
   • 기기 모델: iPhone12,5 (iPhone 11 Pro Max) (필드 10)
   • 언어 설정: ja-jp (일본어) (필드 11)
   • 앱 ID: jp.morilab.MastodonApp (필드 14)
   • 앱 버전: 1.11.6 (필드 16)

3. 사용자 식별 정보:

   • 여러 식별자들이 "REDACTED"로 대체되어 있음 (필드 21, 25, 27, 30)

4. 기타 메타데이터:

   • 앱 빌드 번호: 50400 (필드 17, 18)
   • 앱 버전 세부 정보: 1.11.6 (필드 16, 32, 33)

이 데이터는 사용자의 앱 사용 패턴, 화면 전환, 세션 시간 등을 추적하는 데 사용되며, 원본 게시물에서 언급된 개인정보 우려 사항을 뒷받침하는 증거입니다. 특히 사용자를 식별할 수 있는 여러 ID와 함께 사용 패턴이 수집되고 있음을 보여줍니다.

여기에 어떤 도용된 정보를 추가할 수도 있지만, 그런 것은 관찰된 적이 없습니다. 기본적으로 앱의 어떤 기능이 얼마나 사용되는지 또는 화면 전환 등을 파악하고자 할 때 수집하는 정보입니다.

살펴본 바로는 개인정보를 침해하려는 의도로 설계된 것 같지는 않지만, 소프트웨어의 동작에 악의가 없는지 확인하는 것은 매우 어렵기 때문에, 내부의 거북이 씨(개발자)로부터 다른 사람에게 권리가 양도되지 않는 한, 지금까지의 언행을 바탕으로 각자 판단할 수밖에 없다고 생각합니다.