Stellen Sie sich vor, Ihre Tastenanschläge könnten nicht nur protokolliert, sondern auch unsicher gespeichert werden. Genau das ist bei der beliebten Android-Tastatur-App AI.type passiert: Ein massives Datenleck hat 31 Millionen Nutzerdaten offengelegt, weil sensible Informationen auf einem ungesicherten Server lagerten.
AI.type speicherte Benutzerdaten auf einem Server des Mitgründers Eitan Fitusi. Betroffen waren über 577 Gigabyte an personenbezogenen Informationen – darunter Namen, E-Mail-Adressen, Installationsdauer der App sowie genaue Standortdaten wie Stadt und Land.
Interessanterweise traf es nur Android-Nutzer; iOS-Daten wurden separat gespeichert.
Das Leck wurde vom Kromtech Security Center entdeckt und von ZDNet verifiziert. Fitusi schloss die Lücke, gab jedoch keine detaillierte Erklärung ab.
WEITER LESEN: Wie Sie verhindern können, dass über 400 Websites alles protokollieren, was Sie eingeben
Die kostenlose Version sammelte mehr Daten als die Premium-Version – wie in der Datenschutzerklärung angegeben. Diese Daten dienten der Werbemonetarisierung, waren jedoch mit Nutzer-IDs verknüpft und unsicher gespeichert. Dazu gehörten IMSI- und IMEI-Nummer, Gerätemodell, Bildschirmauflösung und Android-Version.
Am besorgniserregendsten: Vollständige Profile enthielten Telefonnummern, Mobilfunkanbieter, IP-Adressen und Wi-Fi-Provider. Bei Google-Login wurden E-Mails, Geburtsdaten, Geschlecht und Profilfotos kompromittiert.
ZDNet fand Tabellen mit 10,7 Millionen E-Mail-Adressen und 374,6 Millionen Telefonnummern. Auch Listen installierter Apps waren betroffen, wenngleich keine App-Daten extrahiert wurden.
WEITER LESEN: Die Suchmaschine für Datenschutzbewusste
AI.type betont auf seiner Website, Privatsphäre sei ihr "Hauptanliegen" und eingegebener Text "verschlüsselt und privat". Doch Android-Tastaturen haben weitreichende Rechte: SMS lesen, Fotos/Videos ansehen, Audio aufnehmen. Kombiniert mit unsicherer Speicherung wirft das Fragen auf.
Weitere Infos: So verhindern Sie, dass über 400 Websites alles protokollieren, was Sie eingeben – Eine vollständige Liste aller Websites mit Session-Replay-Skripten.
AI.type verspricht, keine Daten weiterzugeben oder aus Passwortfeldern zu lernen. Dennoch fand ZDNet eine Tabelle mit 8,6 Millionen sensiblen Einträgen: Telefonnummern, Suchanfragen, E-Mails und Passwörter.
Premium-Nutzer waren weniger betroffen, doch der Umfang bleibt unklar. Kostenlose Apps bergen Risiken, aber bei Premium-Versionen erwartet man höchste Standards. Mit 31 Millionen Android-Nutzern und potenziell iOS-Betroffenen: Lohnt sich eine Drittanbieter-Tastatur gegen Systemlösungen?