AI.type Keyboard App verliert die persönlichen Daten von 31 Millionen Benutzern

Tastaturen von Drittanbietern sind unter Android sehr beliebt, und das hat einen guten Grund. Sie bieten in der Regel nicht nur mehr Funktionen als die Standardtastatur, sondern bieten in einigen Fällen auch eine bessere Autokorrektur- und Vorhersage-Technologie als die Alternativen von Erstanbietern. Einige Tastaturen von Drittanbietern erfassen jedoch personenbezogene Daten, um ihre Funktionen zu verbessern. Dies macht sie zu einem attraktiven Ziel für Angreifer. Beispiel: Die beliebte Android-Tastatur AI.type hat die persönlichen Daten von mehr als 31 Millionen Benutzern durchgesickert, weil sie angeblich eine ihrer Online-Datenbanken nicht mit einem Passwort geschützt haben soll.

AI.type hat im Play Store einiges zu bieten. Allein die kostenlose Version der Anwendung hat es geschafft, zwischen 10.000.000 und 50.000.000 Installationen zu erzielen, und es wird eine respektable durchschnittliche Bewertungsnote von 4, 2 Sternen beibehalten. Wie Sicherheitsforscher im Kromtech Security Center kürzlich herausfanden, hat AI.type seine Datenbanken nicht angemessen geschützt.

Im Verlauf einer einwöchigen Untersuchung stellte das Kromtech Security Center fest, dass eine falsch konfigurierte MongoDB-Datenbank den Zugriff auf Daten von fast 31 Millionen Benutzern ermöglichte. Es war insgesamt mehr als 577 Gigabyte groß und enthielt Informationen wie den vollständigen Namen der Benutzer, eine Liste der auf dem Telefon installierten Anwendungen, E-Mail-Adressen, den genauen Standort (einschließlich Stadt und Land) und die Anzahl der Tage, an denen Benutzer die Anwendung installiert haben.

Interessanterweise hat die kostenlose Version von AI.type mehr Daten gesammelt als die kostenpflichtige Version. Insbesondere wurden Geräte-IMSI- und IMEI-Nummern, Gerätefabrikate und -modelle, Telefonbildschirmauflösungen, Telefonnummern, Namen von Mobilfunkanbietern, IP-Adressen, Internetanbieter und Android-Versionsnummern erfasst.

Die Forscher hatten mehrfach versucht, das Unternehmen hinter AI.type zu kontaktieren, aber erst am vergangenen Wochenende haben sie es endgültig bestätigt. AI.type gibt an, dass die Datenbank jetzt gesichert wurde und das Leck keine Auswirkungen auf die neun Millionen iOS-Benutzer von AI.type hatte.


Quelle: Kromtech Security Center