31 Millionen persönliche Daten von Android-Nutzern sind dank einer unsicheren Tastatur-App offengelegt

Abgesehen von der Sorge, dass eine zwielichtige Tastatur-App jeden Ihrer Tastenanschläge protokollieren und an einen verdächtigen Drittanbieter senden könnte, würden Sie sich etwas wünschen so einfach wie das Tippen war sorgenfrei. Leider nicht, denn eine unglaublich beliebte Tastatur-App wurde gerade von einem Mammut-Datenverstoß getroffen, nur weil sie keine persönlichen Benutzerinformationen auf einem sicheren Server speicherte.

Die App AI.type speicherte ihre Daten auf einem Server des Unternehmens Mitbegründer Eitan Fitusi. Der Server enthielt Benutzerinformationen, einschließlich persönlicher Aufzeichnungen, mit insgesamt über 577 Gigabyte an sensiblen Daten, darunter Namen, E-Mails und wie lange die App installiert war. Die Daten enthielten auch Informationen zum genauen Standort des Benutzers, einschließlich Stadt und Land.

Seltsamerweise sind nur Android-Benutzer von der Verletzung betroffen, vermutlich weil iOS-Benutzerinformationen auf einer separaten Serverdatenbank gespeichert werden.

Die Datenschutzverletzung wurde von den Sicherheitsforschern Kromtech Security Center entdeckt und dann von ZDNet bestätigt . Interessanterweise hat Fitusi die Sicherheitslücke repariert, aber keine Erklärung zu der Informationsverletzung abgegeben, außer zuzugeben, dass es passiert ist.

WEITER LESEN:Wie Sie verhindern können, dass über 400 Websites alles protokollieren, was Sie eingeben

Benutzer der kostenlosen Version haben mehr Daten aus ihrer Nutzung gesammelt als die der kostenpflichtigen Version – eine Aussage, die in der Datenschutzrichtlinie deutlich gemacht wird. Diese Daten werden dann durch Werbung monetarisiert, aber sie wurden auch auf dem unsicheren Server gespeichert und mit einzelnen Benutzern verknüpft. Es enthielt auch scheinbar nutzlose Informationen wie die IMSI- und IMEI-Gerätenummer jedes Benutzers – eindeutige Nummern zur Identifizierung eines Telefons im globalen Netzwerk und eine zur Identifizierung in einem bestimmten Netzwerk – neben Hersteller- und Modellinformationen, Bildschirmauflösung und sogar der Version von Android läuft.

Am alarmierendsten war, dass einige der vollständigeren Aufzeichnungen die Telefonnummern der Benutzer und den Namen ihres Mobilfunknetzbetreibers enthielten. Einige listeten auch ihre IP-Adressen und den Namen des Internetanbieters für die Wi-Fi-Netzwerke auf, auf die der Benutzer während der Verwendung von AI.type zugegriffen hatte. Die Informationen derjenigen, die sich mit einem Google-Profil in die App eingeloggt hatten, wurden ebenfalls gelöscht, wobei E-Mail-Adressen, Geburtsdaten, Geschlecht und sogar Profilfotos preisgegeben wurden.

ZDNet bestätigte auch, dass AI.type Kontaktinformationen von den Telefonen der Benutzer kratzte, mit Datentabellen, die über 10,7 Millionen E-Mail-Adressen und eine weitere mit 374,6 Millionen Telefonnummern enthielten. Andere Tabellen enthielten auch eine Liste der anderen Apps, die auf einem Gerät installiert sind, obwohl anscheinend keine Daten von ihnen erfasst wurden.

WEITER LESEN:Die Suchmaschine für Datenschutzbewusste

Interessanterweise sagt AI.type auf seiner Website, dass die Privatsphäre der Benutzer „unser Hauptanliegen“ ist und dass jeder auf der Tastatur eingegebene Text „verschlüsselt und privat bleibt“. Abgesehen von den weitreichenden Berechtigungen, die Tastaturen auf Android haben, einschließlich der Option, Textnachrichten zu lesen, Fotos und Videos anzuzeigen und sogar Audio aufzunehmen, kombiniert mit der Tatsache, dass Benutzerdaten nicht in einem sicheren Speicher gespeichert wurden, müssen Sie sich fragen wie genau das ist.

Weitere Informationen finden Sie unter So verhindern Sie, dass über 400 Websites alles protokollieren, was Sie eingeben:Eine vollständige Liste aller Websites, die Session-Replay-Skripte verwenden

AI.type gibt auch an, dass es „niemals Ihre Daten weitergeben oder aus Passwortfeldern lernen wird“, aber als ZDNet Höhepunkte war eine Tabelle mit 8,6 Millionen Einträgen sensibler Informationen, die über die Tastatur protokolliert und gespeichert wurden. Das waren auch keine unbedeutenden Details, sie enthielten Telefonnummern, Websuchen und E-Mail-Adressen und entsprechende Passwörter.

Diejenigen, die für die App bezahlt haben, hätten weitaus weniger Daten offengelegt, aber es ist immer noch unklar, wie viele ihrer Informationen ebenfalls gesammelt wurden. Man würde immer erwarten, dass eine kostenlose App einige Vorbehalte mit sich bringt, aber wenn die kostenpflichtige App auch die gleiche Menge an sensiblen Daten sammelt, hat AI.type einige ernsthafte Fragen zu beantworten.

Mit 31 Millionen exponierten Android-Nutzern und dem potenziellen Risiko weiterer iOS-Nutzer müssen Sie sich zurücklehnen und sich fragen, ob es sich wirklich lohnt, von einer sicheren betriebssystemspezifischen Tastatur auf eine Dritt- Party-App.