Tastatur-App: Persönliche Daten von 31 Millionen Nutzern frei einsehbar

Der Hersteller der virtuellen Tastatur AI.type hat umfangreiche und sensible persönliche Daten seiner Nutzer erfasst und sie unzureichend geschützt. Wie Sicherheitsforscher des Kromtech Security Center entdeckten, waren 577 GByte Daten einer falsch konfigurierten MongoDB-Datenbank für jedermann frei zugänglich.

Der Server gehörte AI.type-Mitgründer Eitan Fitusi. Gesichert wurden die Daten erst nach mehreren Versuchen, ihn zu kontaktieren. Fitusi räumte den Datenleak schließlich ein, wollte aber keine weitere Stellungnahme abgeben. Die auch für iOS verfügbare App verzeichnete laut Anbieter seit ihrer Veröffentlichung im Jahr 2010 rund 40 Millionen Downloads aus Googles Play Store. Sie wird als „intelligenteste personalisierteste Tastatur für Smartphones und Tablets“ beworben, die das Messaging-Erlebnis revolutioniere.

„Angesichts der geleakten Datenbank sieht es aus, als sammelten sie alles von Kontakten bis hin zu Tastatureingaben“, schreibt Bob Diachenko von Kromtech in einem Blogeintrag. „Das ist eine schockierende Menge von Informationen über ihre Nutzer, die davon ausgehen, eine einfache Keyboard-Anwendung zu bekommen.“

ZDNet.com erhielt zur Verifizierung eine teilweise Datenbank, die nur Datensätze von Android-Nutzern zu umfassen schien. Alle Datensätze enthielten mindestens den vollen Namen des Nutzers, seinen genauen Standort sowie E-Mail-Adressen. Andere Datensätze waren weit umfangreicher – die kostenlose Version der App sammelt offenbar noch weit mehr Daten als die bezahlte Version. Hier waren etwa auch IMSI- und IMEI-Nummern der Geräte enthalten. Ein großer Teil der Datensätze enthielt auch die Telefonnummer des Nutzers und weitere persönliche Details.

Zu finden waren außerdem umfangreiche Datentabellen mit Kontaktadressen, die von den Mobiltelefonen der Nutzer stammten und auf dem Server abgelegt wurden. Eine Tabelle enthielt 10,7 Millionen E-Mail-Adressen, eine andere 374,6 Millionen Telefonnummern – deren Upload aus welchen Gründen auch immer erfolgte. Weitere Tabellen enthielten Auflistungen aller Apps, die auf Nutzergeräten installiert waren, darunter auch Banking-Apps und Dating-Apps.

Die Tastatur-App holte sich umfangreichste Zugriffsberechtigungen von Android ein. Das Betriebssystem warnt bei solchen virtuellen Keyboards die Nutzer ausdrücklich davor, dass diese „all Ihre Texteingaben sammeln können einschließlich persönlichen Daten wie Passwörtern und Kreditkartennummern“. Tatsächlich fand ZDNet.com bei der Überprüfung auch eine Datenbanktabelle mit über 8,6 Millionen Texteinträgen, die mit der Tastatur-App eingegeben wurden. Sie enthielten auch private und sensible Informationen wie Telefonnummern oder Web-Suchbegriffe – und in einigen Fällen E-Mail-Adressen mit korrespondierenden Passwörtern.

Eben erst hat Google Maßnahmen gegen Datenschnüffel-Apps angekündigt. Android-Nutzer sollen mit Safe-Browsing-Warnungen vor „Datenerschleichung“ geschützt werden. Verschärfte Richtlinien sehen deutliche Hinweise auf erfasste Daten vor. Bei nicht funktionell benötigten Daten ist die ausdrückliche Zustimmung des Nutzers erforderlich.

[mit Material von Zack Whittaker, ZDNet.com]