Sekretess: Populärt ai.type-tangentbord läcker ut personliga uppgifter om 31 miljoner användare

0 Shares

Tredjeparts Android- och iOS-tangentbord ai-typ står i centrum för något av en integritetsmardröm efter att en felkonfigurerad databas läckt ut personliga detaljer för mer än 31 miljoner användare.

Forskare vid Kromtech Security Center upptäckte att en oskyddad databas hade exponerats av utvecklare och avslöjade otroligt detaljerad information om sina användare. Databasen visade sig vara fritt tillgänglig för alla att ladda ner, utan lösenord krävs för att få tillgång till en skattkista med information.

Se även:

Medan personaliseringsfunktionerna som erbjuds av ai.type verkligen kräver att en viss mängd data samlas in om användare, har frågor ställts om hur omfattande denna datainsamling har varit. Installation av appen på en iPhone kräver “Full åtkomst” för att den ska fungera, vilket ger tillgång till en enorm mängd information, inklusive tidigare tangentbordsdata.

Kromtech Security Center avslöjar den långa listan över data som utsätts för läckan:

Telefonnummer, ägarens fullständiga namn, enhetsnamn och modell, mobilnätverksnamn, SMS-nummer, skärmupplösning, användarspråk aktiverat, Android-version, IMSI-nummer (internationell mobilabonnentidentitet används för samtrafik), IMEI-nummer (ett unikt nummer ges till varje enskild mobiltelefon), e-postmeddelanden som är associerade med telefonen, bosättningsland, länkar och informationen som är associerad med sociala medieprofiler (födelsedatum, titel, e-postmeddelanden etc.) och foto (länkar till Google+, Facebook etc.), IP ( om tillgänglig), platsinformation (lång / lat).

577 GB-databasen innehöll information om 31 293 959 användare, och i många fall inkluderade detta data som skrapats från kontaktlistor. På tal med BBC hänvisade emellertid ai.type grundare och verkställande direktör, Eitan Fitusi, till den läckta databasen som “en sekundär databas”, och förnekade att omfattningen av exponerad data var så hög som påstås. I synnerhet förnekade han att IMEI-information samlades in, sade att den insamlade geografiska platsinformationen inte var korrekt och påpekade att användarnas beteendedata endast samlades in från annonser som klickades.

Men Fitusis påståenden är mycket i strid med slutsatserna från Kromtech Security Center.

Mark James, en säkerhetsspecialist från ESET, uttryckte sin förvåning över hur mycket data som samlades in och rådde användarna att vara försiktiga:

Att skörda fullständigt namn, telefonnummer, e-postadress, enhetsnamn, skärmupplösning, modellinformation tillsammans med så mycket mer personlig information och att sedan ta reda på att användarens hela kontaktlista också laddas upp är inte acceptabelt. Det i sig är en enorm hord av data för att hålla på en väl säker server bort från skadlig räckvidd, men tyvärr var det bara inte så. Databasen konfigurerades inte korrekt och möjliggjorde därmed full åtkomst från internet till all data som lagrades, vilket gör den i princip gratis för all åtkomst.

Tyvärr finns det i dagsläget inget sådant som gratis, ofta är vårt pris datauppladdning, något är naturligtvis nödvändigt för att appen ska kunna göra sitt jobb men oftare är det helt enkelt inte fallet. I en ideal värld bör vi ha full kontroll över vad vi tillåter vilken enhet som helst att skörda och välja om vi vill lämna över den. Utvärdera alltid behörigheterna innan du installerar några program eller applikationer, eftersom det med så många val idag kan ibland betala utdelning att välja dina appar klokt. “

0 Shares