Tastatur-App: Persönliche Daten von 31 Millionen Nutzern frei einsehbar

577 GByte Daten waren dank einer falsch konfigurierten Datenbank für jedermann frei zugänglich. Gesammelt wurde offenbar alles "von Kontakten bis hin zu Tastatureingaben". ZDNet.com konnte den Leak sensibler Informationen anhand einer teilweisen Datenbank verifizieren.

Der Hersteller der virtuellen Tastatur AI.type hat umfangreiche und sensible persönliche Daten seiner Nutzer erfasst und sie unzureichend geschützt. Wie Sicherheitsforscher des Kromtech Security Center entdeckten, waren 577 GByte Daten einer falsch konfigurierten MongoDB-Datenbank für jedermann frei zugänglich.

Smartphone-Apps (Bild: Shutterstock / Oleksiy Mark)

Der Server gehörte AI.type-Mitgründer Eitan Fitusi. Gesichert wurden die Daten erst nach mehreren Versuchen, ihn zu kontaktieren. Fitusi räumte den Datenleak schließlich ein, wollte aber keine weitere Stellungnahme abgeben. Die auch für iOS verfügbare App verzeichnete laut Anbieter seit ihrer Veröffentlichung im Jahr 2010 rund 40 Millionen Downloads aus Googles Play Store. Sie wird als „intelligenteste personalisierteste Tastatur für Smartphones und Tablets“ beworben, die das Messaging-Erlebnis revolutioniere.

„Angesichts der geleakten Datenbank sieht es aus, als sammelten sie alles von Kontakten bis hin zu Tastatureingaben“, schreibt Bob Diachenko von Kromtech in einem Blogeintrag. „Das ist eine schockierende Menge von Informationen über ihre Nutzer, die davon ausgehen, eine einfache Keyboard-Anwendung zu bekommen.“

ZDNet.com erhielt zur Verifizierung eine teilweise Datenbank, die nur Datensätze von Android-Nutzern zu umfassen schien. Alle Datensätze enthielten mindestens den vollen Namen des Nutzers, seinen genauen Standort sowie E-Mail-Adressen. Andere Datensätze waren weit umfangreicher – die kostenlose Version der App sammelt offenbar noch weit mehr Daten als die bezahlte Version. Hier waren etwa auch IMSI- und IMEI-Nummern der Geräte enthalten. Ein großer Teil der Datensätze enthielt auch die Telefonnummer des Nutzers und weitere persönliche Details.

Zu finden waren außerdem umfangreiche Datentabellen mit Kontaktadressen, die von den Mobiltelefonen der Nutzer stammten und auf dem Server abgelegt wurden. Eine Tabelle enthielt 10,7 Millionen E-Mail-Adressen, eine andere 374,6 Millionen Telefonnummern – deren Upload aus welchen Gründen auch immer erfolgte. Weitere Tabellen enthielten Auflistungen aller Apps, die auf Nutzergeräten installiert waren, darunter auch Banking-Apps und Dating-Apps.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Die Tastatur-App holte sich umfangreichste Zugriffsberechtigungen von Android ein. Das Betriebssystem warnt bei solchen virtuellen Keyboards die Nutzer ausdrücklich davor, dass diese „all Ihre Texteingaben sammeln können einschließlich persönlichen Daten wie Passwörtern und Kreditkartennummern“. Tatsächlich fand ZDNet.com bei der Überprüfung auch eine Datenbanktabelle mit über 8,6 Millionen Texteinträgen, die mit der Tastatur-App eingegeben wurden. Sie enthielten auch private und sensible Informationen wie Telefonnummern oder Web-Suchbegriffe – und in einigen Fällen E-Mail-Adressen mit korrespondierenden Passwörtern.

Eben erst hat Google Maßnahmen gegen Datenschnüffel-Apps angekündigt. Android-Nutzer sollen mit Safe-Browsing-Warnungen vor „Datenerschleichung“ geschützt werden. Verschärfte Richtlinien sehen deutliche Hinweise auf erfasste Daten vor. Bei nicht funktionell benötigten Daten ist die ausdrückliche Zustimmung des Nutzers erforderlich.

[mit Material von Zack Whittaker, ZDNet.com]

Themenseiten: Android, Apps, Datenschutz, Privacy, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

4 Kommentare zu Tastatur-App: Persönliche Daten von 31 Millionen Nutzern frei einsehbar

Kommentar hinzufügen
  • Am 6. Dezember 2017 um 7:36 von Icke

    Na klasse, wenn auch nur einer meiner Kontakte diese App nutzt sind auch meine Daten in deren Datenbank. Ein Traum

  • Am 6. Dezember 2017 um 8:52 von Michi

    Ich hoffe dieser Sack und seine Mitwisser gehen ins Gefängnis. Es wird endlich Zeit, dass Google und Apple, sowie die Gesetzgeber reagieren.

    Die Sammelwut der App Hersteller hat ein Ausmass angenommen, das jeglichen vertretbaren Rahmen sprengt. Die Nutzer werden mit jeder erdenklichen Möglichkeit abgezockt und ausspioniert. Völlig irrelevant, ob die App die Daten zum Funktionieren benötigt oder nicht. Abgrasen, was geht, ohne Rücksicht auf Privatsphäre und Datenschutz. Die Server werden katastophal gesichert und nur schon das zeigt, dass die meisten App Hersteller nicht den geringsten Respekt vor Ihren Kunden haben. Geschäftsethik fehlt komplett. Ich finde das traurig und erschreckend. Alle schauen zu und niemand ist verantwortlich. Jeder tut was er will.

    • Am 7. Dezember 2017 um 8:54 von Klaus der Pessimist

      Ist doch nicht schlimm, hat keiner was zu verbergen?

      Oder doch schlimm? Die meisten ausspionierten Nutzer werden das ja nie erfahren, die werden auch jetzt noch ausspioniert, Eitan Fitusi wird das nicht weiter stören.

      Datenschutz spielt bei den meisten eben keine wichtige Rolle.

  • Am 8. Dezember 2017 um 13:02 von hugo

    Was wollt Ihr den? Es ist nachwievor bei Google abrufbar! Also ist es gut, kostet nix und der Hersteller dementiert das es ein LEAK gab, haben ja nur Securityleute rausgefunden das da was offen rumlag. Also auf das Datensammeln selber geht man gar nicht ein, die Nutzer sind ja einverstanden damit sonst würden Sie es ja nicht nutzen ;-)))

    Ich möchte hier nicht mal von selber schuld sprechen, den was kostenlos ist hat meist einen faden Beigeschmack. Aber alle Hersteller die auch eine kostenpflichtige Version anbieten, wollen vom zahlenden Kunden noch mehr Daten als vom kostenlos Nutzenden. Dabei sollte es genau umgekehrt sein. Ich schau mir immer an was das APP alles für Rechte will und sperre erst mal was ich nicht will. Wenn das APP dann nicht mehr geht fühle ich mich bestätigt das dieser Anbieter nur Daten sammeln will und dass sind fast ALLE!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *