ai.type: Tastatur-App leakt Daten von mehr als 31 Millionen Nutzern

6. Dezember 2017 Kategorie: Android, Backup & Security, iOS, geschrieben von:

Es passiert leider immer wieder. Unternehmen, denen wir Daten anvertrauen sichern diese nicht ordentlich ab und sie landen dann in Händen von Menschen, denen man diese Daten eigentlich nicht zugänglich machen möchte. Besonders kritisch sind solche Dinge immer dann, wenn es um sehr sensible Daten geht. Ein Leck von Nutzerdaten durch eine Tastatur-App lässt da aufhorchen, denn über die Tastatur des Smartphones wird schließlich jede Menge Information eingegeben.

ai.type ist eine solche Drittanbieter-Tastatur, nach eigenen Angaben erzielte man mehr als 40 Millionen Downloads der Tastatur. Und man hat 577 GB Daten in einer Mongo-Datenbank gespeichert, die man dann wiederum nicht abgesichert hat. Lag da einfach auf dem Server rum und konnte von jedem eingesehen werden. Entdeckt wurde das ganze vom Kromtech Security Center.

Interessant ist in diesem Fall natürlich, ob oder wie die Daten gesichert sind und um welche es sich überhaupt handelt. Die schlechte Nachricht: Eine Verschlüsselung oder andere Sicherungsmaßnahmen waren nicht vorhanden und es wurden auch sehr viele Daten der Nutzer gespeichert. Zum Beispiel alle Kontakte, die ein Nutzer hat. Aber auch der Nutzer selbst ist durch die Datensammelei sehr durchsichtig.

Von 31.293.959 Nutzern wurden Informationen wie Handynummer, Name des Besitzers, Gerätename und Modell, Mobilfunkanbieter, IMSI, IMEI, E-Mails und zahlreiche weitere Informationen gespeichert, die nun in Umlauf sind. Auch gut 6,4 Millionen Einträge, die Informationen aus Adressbüchern der Nutzer enthalten, wurden entdeckt. Insgesamt wurden mehr als 373 Millionen „Einträge“ von Nutzer-Smartphones abgegriffen und in der Datenbank gespeichert.

Auch Informationen zu Nutzung der Tastatur finden sich in den Einträgen, wie viele Wörter im Schnitt getippt wurden und so etwas. Laut BSI wurden auch Kreditkartendaten sowie Tastatureingaben gespeichert. Das BSI rät zudem, Passwörter von mit der Tastatur genutzten Accounts zu ändern.

Dass es sich bei dem öffentlichen Zugang zur Datenbank um einen unbeabsichtigten Fehler handelt, dürfte der Umstand belegen, dass ein etwaiger Angreifer die Datenbank nicht nur hätte auslesen, sondern Inhalte auch direkt löschen können. Wie es allerdings zu so einem Fehler kommen kann, wenn man auf Daten von über 30 Millionen Nutzern aufpassen muss, ist mir schleierhaft.

Ebenso, warum kein Wort zur Verschlüsselung der Daten verloren wird. Es ist das eine, an eine Datenbank zu kommen, eine andere aber, diese auch problemlos auslesen zu können. Aber so ist das im Leben, wenn der menschliche Faktor mitspielt: Fehler passieren, auch wenn sie das – gerade in so sensiblen Bereichen – natürlich nicht passieren sollten.

Unklar ist bislang auch, warum ai.type überhaupt diese Menge an Daten sammelt. Da sind durchaus auch Informationen dabei, von denen der Nutzer nicht damit rechnet, dass sie von einer Tastatur-App benötigt werden.

Habt Ihr die Tastatur genutzt? Werdet Ihr sie weiterhin nutzen? Verfügbar ist diese übrigens für iOS und Android, sollte jemand einen Blick riskieren wollen, es gab auch erst ein Update.


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 9403 Artikel geschrieben.