Tastatur-App: Persönliche Daten von 31 Millionen Nutzern frei einsehbar

von Bernd Kling am , 21:45 Uhr

577 GByte Daten waren dank einer falsch konfigurierten Datenbank für jedermann frei zugänglich. Gesammelt wurde offenbar alles „von Kontakten bis hin zu Tastatureingaben“. ZDNet.com konnte den Leak sensibler Informationen anhand einer teilweisen Datenbank verifizieren.

Der Hersteller der virtuellen Tastatur AI.type hat umfangreiche und sensible persönliche Daten seiner Nutzer erfasst und sie unzureichend geschützt. Wie Sicherheitsforscher des Kromtech Security Center entdeckten, waren 577 GByte Daten einer falsch konfigurierten MongoDB-Datenbank für jedermann frei zugänglich.

Smartphone-Apps (Bild: Shutterstock / Oleksiy Mark) [1]

Der Server gehörte AI.type-Mitgründer Eitan Fitusi. Gesichert wurden die Daten erst nach mehreren Versuchen, ihn zu kontaktieren. Fitusi räumte den Datenleak schließlich ein, wollte aber keine weitere Stellungnahme abgeben. Die auch für iOS verfügbare App verzeichnete laut Anbieter seit ihrer Veröffentlichung im Jahr 2010 rund 40 Millionen Downloads aus Googles Play Store. Sie wird als „intelligenteste personalisierteste Tastatur für Smartphones und Tablets“ beworben, die das Messaging-Erlebnis revolutioniere.

„Angesichts der geleakten Datenbank sieht es aus, als sammelten sie alles von Kontakten bis hin zu Tastatureingaben“, schreibt Bob Diachenko von Kromtech in einem Blogeintrag [2]. „Das ist eine schockierende Menge von Informationen über ihre Nutzer, die davon ausgehen, eine einfache Keyboard-Anwendung zu bekommen.“

ZDNet.com [3] erhielt zur Verifizierung eine teilweise Datenbank, die nur Datensätze von Android [4]-Nutzern zu umfassen schien. Alle Datensätze enthielten mindestens den vollen Namen des Nutzers, seinen genauen Standort sowie E-Mail-Adressen. Andere Datensätze waren weit umfangreicher – die kostenlose Version der App sammelt offenbar noch weit mehr Daten als die bezahlte Version. Hier waren etwa auch IMSI- und IMEI-Nummern der Geräte enthalten. Ein großer Teil der Datensätze enthielt auch die Telefonnummer des Nutzers und weitere persönliche Details.

Zu finden waren außerdem umfangreiche Datentabellen mit Kontaktadressen, die von den Mobiltelefonen der Nutzer stammten und auf dem Server abgelegt wurden. Eine Tabelle enthielt 10,7 Millionen E-Mail-Adressen, eine andere 374,6 Millionen Telefonnummern – deren Upload aus welchen Gründen auch immer erfolgte. Weitere Tabellen enthielten Auflistungen aller Apps, die auf Nutzergeräten installiert waren, darunter auch Banking-Apps und Dating-Apps.

ANZEIGE

Cloud-Managed IT für moderne Unternehmen [5]

Moderne Netzwerke umspannen die ganze Welt und gewährleisten jedem im Unternehmen Zugriff auf Informationen. Durch die Einbindung neuer Technologien erweitert sich ihr Funktionsspektrum immer mehr. Das Internet hat neue Funktionen und Technologien hervorgebracht, für die allerdings eine durchgehende und zuverlässige Netzwerkanbindung erforderlich ist. Wie Sie mit der einfach zu verwaltenden Lösung Cisco Meraki für Cloud-Managed IT moderne, starke und zuverlässige Netzwerke erhalten, verrät Ihnen dieses Whitepaper.

Die Tastatur-App holte sich umfangreichste Zugriffsberechtigungen von Android ein. Das Betriebssystem warnt bei solchen virtuellen Keyboards die Nutzer ausdrücklich davor, dass diese „all Ihre Texteingaben sammeln können einschließlich persönlichen Daten wie Passwörtern und Kreditkartennummern“. Tatsächlich fand ZDNet.com bei der Überprüfung auch eine Datenbanktabelle mit über 8,6 Millionen Texteinträgen, die mit der Tastatur-App eingegeben wurden. Sie enthielten auch private und sensible Informationen wie Telefonnummern oder Web-Suchbegriffe – und in einigen Fällen E-Mail-Adressen mit korrespondierenden Passwörtern.

Eben erst hat Google [6] Maßnahmen gegen Datenschnüffel-Apps [7] angekündigt. Android-Nutzer sollen mit Safe-Browsing-Warnungen vor „Datenerschleichung“ geschützt werden. Verschärfte Richtlinien sehen deutliche Hinweise auf erfasste Daten vor. Bei nicht funktionell benötigten Daten ist die ausdrückliche Zustimmung des Nutzers erforderlich.

[mit Material von Zack Whittaker, ZDNet.com [3]]

Artikel von ZDNet.de: http://www.zdnet.de

URL zum Artikel: http://www.zdnet.de/88320305/tastatur-app-persoenliche-daten-von-31-millionen-nutzern-frei-einsehbar/

URLs in this post:

[1] Image: http://www.zdnet.de/wp-content/uploads/2013/09/apps-smartphone-shutterstock-oleksiy-mark-800.jpg

[2] Blogeintrag: https://mackeepersecurity.com/post/virtual-keyboard-developer-leaked-31-million-of-client-records

[3] ZDNet.com: http://www.zdnet.com/article/popular-virtual-keyboard-leaks-31-million-user-data/

[4] Android: http://www.zdnet.de/themen/android/

[5] Cloud-Managed IT für moderne Unternehmen: http://whitepaper.silicon.de/resource/cloud-managed-it-fuer-moderne-unternehmen

[6] Google: http://www.zdnet.de/unternehmen/google/

[7] Maßnahmen gegen Datenschnüffel-Apps: http://www.zdnet.de/88320191/google-will-gegen-datenschnueffel-apps-vorgehen/