ai.type: Tastatur-App leakt Daten von mehr als 31 Millionen Nutzern

Es passiert leider immer wieder. Unternehmen, denen wir Daten anvertrauen sichern diese nicht ordentlich ab und sie landen dann in Händen von Menschen, denen man diese Daten eigentlich nicht zugänglich machen möchte. Besonders kritisch sind solche Dinge immer dann, wenn es um sehr sensible Daten geht. Ein Leck von Nutzerdaten durch eine Tastatur-App lässt da aufhorchen, denn über die Tastatur des Smartphones wird schließlich jede Menge Information eingegeben.

ai.type ist eine solche Drittanbieter-Tastatur, nach eigenen Angaben erzielte man mehr als 40 Millionen Downloads der Tastatur. Und man hat 577 GB Daten in einer Mongo-Datenbank gespeichert, die man dann wiederum nicht abgesichert hat. Lag da einfach auf dem Server rum und konnte von jedem eingesehen werden. Entdeckt wurde das ganze vom Kromtech Security Center.

Interessant ist in diesem Fall natürlich, ob oder wie die Daten gesichert sind und um welche es sich überhaupt handelt. Die schlechte Nachricht: Eine Verschlüsselung oder andere Sicherungsmaßnahmen waren nicht vorhanden und es wurden auch sehr viele Daten der Nutzer gespeichert. Zum Beispiel alle Kontakte, die ein Nutzer hat. Aber auch der Nutzer selbst ist durch die Datensammelei sehr durchsichtig.

Von 31.293.959 Nutzern wurden Informationen wie Handynummer, Name des Besitzers, Gerätename und Modell, Mobilfunkanbieter, IMSI, IMEI, E-Mails und zahlreiche weitere Informationen gespeichert, die nun in Umlauf sind. Auch gut 6,4 Millionen Einträge, die Informationen aus Adressbüchern der Nutzer enthalten, wurden entdeckt. Insgesamt wurden mehr als 373 Millionen „Einträge“ von Nutzer-Smartphones abgegriffen und in der Datenbank gespeichert.

Auch Informationen zu Nutzung der Tastatur finden sich in den Einträgen, wie viele Wörter im Schnitt getippt wurden und so etwas. Laut BSI wurden auch Kreditkartendaten sowie Tastatureingaben gespeichert. Das BSI rät zudem, Passwörter von mit der Tastatur genutzten Accounts zu ändern.

Dass es sich bei dem öffentlichen Zugang zur Datenbank um einen unbeabsichtigten Fehler handelt, dürfte der Umstand belegen, dass ein etwaiger Angreifer die Datenbank nicht nur hätte auslesen, sondern Inhalte auch direkt löschen können. Wie es allerdings zu so einem Fehler kommen kann, wenn man auf Daten von über 30 Millionen Nutzern aufpassen muss, ist mir schleierhaft.

Ebenso, warum kein Wort zur Verschlüsselung der Daten verloren wird. Es ist das eine, an eine Datenbank zu kommen, eine andere aber, diese auch problemlos auslesen zu können. Aber so ist das im Leben, wenn der menschliche Faktor mitspielt: Fehler passieren, auch wenn sie das – gerade in so sensiblen Bereichen – natürlich nicht passieren sollten.

Unklar ist bislang auch, warum ai.type überhaupt diese Menge an Daten sammelt. Da sind durchaus auch Informationen dabei, von denen der Nutzer nicht damit rechnet, dass sie von einer Tastatur-App benötigt werden.

Habt Ihr die Tastatur genutzt? Werdet Ihr sie weiterhin nutzen? Verfügbar ist diese übrigens für iOS und Android, sollte jemand einen Blick riskieren wollen, es gab auch erst ein Update.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

17 Kommentare

  1. Unbekannte App, aber auch gut, die nicht gekannt zu haben.

  2. Ich fand ai.type schon immer unseriös. Da hat sich mein Bedenken ja bestätigt…

  3. Die Verantwortlichen gehören vor Gericht. Aber da es um Daten einer App geht kann das ganze ja mal passieren. Schwamm drüber (oder so ähnlich).

  4. Das geht ja überhaupt nicht. Echt übel.

  5. Das erinnert mich an alte Carbon-Farbbänder von Schreibmaschinen. Da konnte man auch immer genau sehen was darauf geschrieben wurde. Bei uns wurden die Dinger früher einfach bedenkenlos weggeworfen, an Datenschutz hat damals noch niemand gedacht.

  6. ich spendiere ein „als“

  7. „Ebenso, warum kein Wort zur Verschlüsselung der Daten verloren wird. Es ist das eine, an eine Datenbank zu kommen, eine andere aber, diese auch problemlos auslesen zu können.“

    Es gibt zwar Konzepte, um (relationale) Datenbanken auch verschlüsselt zu nutzen („CryptDB“), das dürfte jedoch eher ein wissenschaftliches Feld sein und selten in der Praxis genutzt werden. Was verschlüsselt wird (gehasht, gesalted, etc. pp.) sind die Passwörter. Die Nutzdaten, und um die handelt es sich hier ja, werden, afaik, nicht verschlüsselt. Macht es auch sehr schwierig. Einen Join oder auch schon ein range select (alle Nutzer die mehr als 1000 Wörter pro Tag tippen) ist auf verschlüsselten Daten schwierig.

    Verschlüsselung scheint mir hier nicht der Fehler zu sein, die ist meines Erachtens nicht zu erwarten. Der offene Zugang ist das Problem.

    Verbessert mich, wenn meine Einschätzung hier falsch ist 🙂

  8. Diese Tastatur testete ich einige Minuten auf einem zwischenzeitlich verendeten Testgerät ohne Kontakte/Daten.

    Bin sehr gespannt, ob es irgendwann zu einem Swiftkey Skandal kommen wird. Lt NetGuard ist Swiftkey sehr kommunikativ, auch wenn weder der Übertragung von Nutzungsdaten zugestimmt ist noch am Clouddienst teilgenommen wird. Auf einem Testgerät erzeugte Swiftkey bei mir unter diesen Umständen in einem knappen Monat um 150 MB Traffic.

  9. Netter Keylogger. Will nicht wissen wie viele Apps sonst all diese Daten sammeln und irgendwo speichern.

  10. Ich habe mir die Tastatur vor Jahren gekauft und war bis eben sehr zufrieden.
    Nun ist sie auf allen Geräten History.

  11. @Tobi
    Danke, wollte das auch gerade schreiben, Datenbanken sind nie verschlüsselt, nur Passwörter, oder Kreditkartennummern oder ähnliches.

    Die sind dann im idealfall gehashed und auch gesalteted und gepeppert.

    Tastatur Apps sind extrem sensibel, weil man da ja auch Passwörter reintippt und Kreditkarten Nummern. Die App ist damit wohl tot.

  12. @Tobi: Kreditkarteninformationen sind in aller Regel verschlüsselt. Darüber hinaus ist bei sensiblen Daten Transparente Datenverschlüsselung mittlerweile die Regel.

  13. Ich nutze schon mehrere Jahre SwiftKey… Ein mulmiges Gefühl haben ich dabei immer gehabt, nun noch mehr… Allerdings nutze ich diese Tastatur nur, weil die Samsung Tastatur m.E. einfach umkomfortabel ist und ich mit besagter SwiftKey Tastatur viel besser klar komme… Gibt es eine Stellungnahme von denen, zu aktuellem Ereignis von ai.type?

  14. Bei der Google Tastatur sollte nichts passieren.

  15. @Andi: …weil? So geil GBoard auch ist und im Vgl. zu anderen Tastaturen funktioniert – solche Leaks versauen mir erst mal das Vertrauen in ALLE Drittanbieter-Tastaturen, die ja per se immer Vollzugriff verlangen. Am A!

  16. Gboard verursacht bei deaktivierter Nutzungsdatenübermittlung sehr wenig Traffic. Vermutlich handelt es sich dabei tatsächlich nur um unsensible Telemetriedaten. Bei Swype ist der Traffic noch geringer.
    Via App Input Method Switcher kann für Passworteingaben und Banking etc schnell zum leider nicht weiterentwickelten Hackers Keyboard oder einer anderen Tastatur ohne Internetzugang gewechselt werden.

  17. Lustig,
    da greift eine App im großen Stil Daten ab die sie nichts anzugehen hat und das einzige was man sich fragt ist warum die Datenbank in der die Daten landen nicht gesichert ist.

    ICH hätte mich ja eher gefragt wie es denn sein kann das überhaupt Daten in einer Datenbank landen.. Ob sie nun gesichert ist oder nicht..

    Aber naja.

Es kann einen Augenblick dauern, bis dein Kommentar erscheint.