Keyboard-App ai.type sammelt Daten, diese sind geleakt

Datenschutz-GAU: Die populäre Tastatur-App ai.type sammelt unter Android und iOS persönliche Daten der Nutzer. Und dann sichern die Betreiber den Server nicht ab, so dass diese persönlichen Daten von 31 Millionen Benutzern nun öffentlich sind.


Anzeige


Es ist mal wieder eine Geschichte, die zeigt, dass das App-Modell kaputt ist. Aber die Nutzer haben selbst schuld – da wird eine App vorgestellt, und alle stürzen sich wie die Lemminge drauf. Keiner bedenkt, dass man sich damit quasi einen Trojaner auf das Android-Gerät holt.

ai.type Free Tastatur + Emoji

Sucht man nach dem Begriff ai.type Free Tastatur stößt man nicht nur bei Google Play Store, sondern bei vielen deutschsprachigen Sites auf ‘Empfehlungen’ für die Android-Tastatur-App. Selbst bei heise.de habe ich diesen Artikel gefunden. Die App ist dort sogar als kostenpflichtig angegeben. Bei heise.de liest man:

Die ai.type Plus Tastatur – App für Android kommt mit einer Grammatikprüfung, Wort-Vorhersage- und Auto-Korrektur daher. Die Tastatur-App umfasst verschiedene Themes und bietet weitere Benutzeranpassungen. Anstatt zu Tippen, kann man mit dem Finger für die Eingabe auch von Buchstabe zu Buchstaben gleiten und ergänzend lässt sich der Text diktieren.

Und auf der Google Play Store-Seite liest man:

ai.type ist die intelligenteste personalisierteste Tastatur für Smartphones und Tablets. Mit weltweit mehr als 40 Millionen Nutzer revolutionieren wir das Messaging-Erlebnis.
Mit unserer App können Sie besser und schneller tippen, indem es Ihren Schreibstil lernt. Sie können Ihre Tastatur nach Belieben anpassen und personalisieren.

Ist natürlich klar, dass der hippe Android-Nutzer (und iOS-User) diese App braucht. Dass eine Tastatur bei Android oder iOS im Lieferumfang dazu gehört und dass jede Tastatur potentiell alles aufzeichnen kann, was der Nutzer so am Gerät treibt – irgendwie geschenkt. Und da der Entwickler von ai.type zum Datenschutz folgendes schreibt:

Datenschutz – Ihr Datenschutz ist uns wichtig. Wir geben nie Ihre Daten frei oder erfassen Ihre Passwörter. Texte bleiben verschlüsselt und privat.

gibt einem natürlich ein gutes Gefühl. Auf der Entwicklerseite erfährt man, dass die Firma 2010 gegründet wurde – die Entwickler sitzen laut Google in Houston in den USA – die Firma wurde aber von Israelis gegründet.


Werbung

Kromtech Security stößt auf die Daten

Das Kromtech Security Center hat diesen Fall aufgedeckt und in diesem Blog-Beitrag veröffentlicht. Bei Recherchen im Web hat man eine riesige Menge an Kundendateien entdeckt, die öffentlich zugänglich sind. Die Forscher konnten auf die Daten und Details von 31.293.959 Nutzern zugreifen. Ursache war eine fehlkonfigurierte MongoDB-Datenbank, die nicht durch ein Kennwort vor unberechtigten Zugriffen gesichert war. 

Die falsch konfigurierte MongoDB-Datenbank scheint, so schreiben die Forscher, zu Ai.Type zu gehören, einem Tel Aviv-basierten Startup, das eine personalisierte Tastatur für Mobiltelefone und Tablets für Android- und iOS-Geräte entwirft und entwickelt. Die Android-App hat wohl 40 Millionen Downloads. Das Unternehmen plant, sogenannte Matching Bots zu integrieren. Wenn ein Benutzer seine Konversation eintippt, kann der Bot auf der Tastatur Vorschläge unterbreiten.

Schock: Die App sammelt alles

Als die Sicherheitsforscher die App Ai.Type installierten, waren sie schockiert, als sie feststellten, dass die Benutzer “Full Access” für alle ihre auf dem iPhone gespeicherten Daten, einschließlich aller Tastaturdaten, die in der Vergangenheit und Gegenwart gespeichert waren, zulassen müssen. Es wirft die Frage auf, warum sollte eine Tastatur und Emoji-Anwendung die gesamten Daten des Telefons oder Tabletts des Benutzers erfassen müssen?

Basierend auf der durchgesickerten Datenbank scheinen die Macher von Ai.Type alles zu sammeln, was sie auf den Geräten kriegen können, von Kontakten bis hin zu Tastenanschlägen. Dies ist eine schockierende Menge an Informationen über ihre Benutzer, die davon ausgehen, dass sie eine einfache Tastaturanwendung erhalten. 

Das Leak – Einblick in die Datensammlung

Die Kromtech Security-Forscher schreiben, dass Ai.Type versehentlich ihre gesamte Mongo-Datenbank mit 577 GB Daten für jeden mit einer Internetverbindung zugänglich gemacht habe. Als die Forscher auf die Datenbank stießen, wurde deutlich, auf wie viele Daten die Leute von Ai.Type zugreifen. Es ist quasi eine Fundgrube an Daten, von denen durchschnittliche Benutzer nicht erwarten, dass sie von ihrem Handy oder Tablett extrahiert oder erfasst werden. Hier die Liste der Grausamkeiten, was in der Datenbank steckt:

  • Kundenregistrierung: Client-Dateien, die die persönlichen Daten von 31.293.959 Benutzern enthielten, die eine virtuelle Tastatur vom Typ ai.type installiert haben.
  • Dabei handelt es sich um hochsensible und identifizierbare Informationen wie: Telefonnummer, vollständiger Name des Eigentümers, Gerätename und Modell, Name des Mobilfunknetzes, SMS-Nummer, Bildschirmauflösung, aktivierte Benutzersprachen, Android-Version, IMSI-Nummer, IMEI-Nummer (eine eindeutige Nummer, die jedem einzelnen Mobiltelefon zugewiesen wird), E-Mails, die mit dem Telefon verbunden sind, Land des Wohnsitzes, Links und die Informationen, die mit den Profilen der sozialen Medien verbunden sind (Geburtsdatum, Titel, E-Mails usw.).) und Foto (Links zu Google+, Facebook etc.), IP (falls vorhanden), Standortdetails (Long/Lat).
  • Telefonbuch und Kontakteinträge: 6.435.813 Datensätze, die Daten aus den Kontaktbüchern der Benutzer enthielten, einschließlich Namen (wie ursprünglich eingegeben) und Telefonnummern, insgesamt mehr als 373 Millionen Datensätze, die von den Telefonen der registrierten Benutzer abgeschabt wurden, darunter alle ihre Kontakte, die in einem verknüpften Google-Konto gespeichert bzw. synchronisiert wurden.

Kontaktdaten
(Quelle: Kromtech Security)

In der Datenbank wurden weitere Daten unter dem Titel ‘old database’ gefunden. Die obige Abbildung zeigt, dass die in der MongoDB-Datenbank in Tabellen abgelegten Daten, gegenüber den Datenschutzzusicherungen des Unternehmens, keinesfalls verschlüsselt sind.

Der Fall zeigt, dass man eigentlich keine Drittanbieter-Apps mehr auf seinen Mobilgeräten installieren darf. Damit ist dies der Todesstoß für das App-Modell und das gesamte Mobilgerätegeschäft – denn damit werden wir wirklich gläsern. Und selbst Leute, die kein Mobilgerät besitzen, sich aber in einem Adressbuch auf einem solchen Gerät befinden, geraden in diesen Sog. Wie heißt es so schön: Daten sind das neue Öl … (via)

Ähnliche Artikel:
Android / iOS auf chinesische Spyware-Apps überprüfen
Neues NSA-Leak–Material auf offenem AWS-Server gefunden
Uber-Datenleak: Millionen Nutzerdaten gestohlen
LeakerLocker: Android Malware/Doxware
Shadow Broker Leak: NSA hat Banken über SWIFT gehackt


Werbung


Dieser Beitrag wurde unter Android, iOS, Sicherheit abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Kommentare zu Keyboard-App ai.type sammelt Daten, diese sind geleakt

  1. Ja nun wer so eine Scheiß App nutzt die Daten Sammelt da darf man sich eben nicht wundern, denn wir wissen ja für einige Firmen ist das Wort Datensicherheit eher ein Fremdwort und im Internet ist eben fast nichts sicher.

    Eigentlich sollten solchen Firmen, wo weder Daten Verschlüsselt übertragen als auch die Daten Verschlüsselt auf einem Server liegen, sofort jegliche Lizenz zum Speichern von Daten entzogen werden. Ich meine so Firma weiß doch eigentlich was sie da tut und welche Daten ihre Kunden in etwa eingeben und dann so eine Unverschlüsselte Datenbank irgendwo fast öffentlich abzulegen ist doch fast eine Einladung für Hacker oder Sicherheits Forscher, ich würde einer solchen Firma eine so hohe Strafe aufbrummen das es richtig schmerzt und schließlich Auflagen für Datenschutz aufbrummen und wenn der Datenschutz nicht eingehalten wird würde ich so eine Firma geradewegs Schließen.

    Wer nicht Ordentlich mit Kundendaten umgehen kann muss einfach derart Hart Bestraft werden das so etwas nie wieder vorkommt!

    Wenn ich mir Vorstelle was wir für einen Aufwand betreiben, das die von Kunden an uns weitergegebenen Daten Sicher aufbewahrt werden, mittlerweile lassen wir de ganzen Kram extern bearbeiten weil der Aufwand für ein kleines Mittel ständiges Unternehmen schon Extrem hoch ist.

  2. donionline sagt:

    “Selbst bei heise.de habe ich diesen Artikel gefunden.”

    Ja heise dokumentiert viele, wenn nicht sogar alle Apps, die der Play Store hergibt. Was genau daran falsch sein soll erschließt sich mir nicht. Schließlich sind der App-Entwickler und die Betreiber der App-Dienste für die Datensicherheit des Nutzers zuständig. Heise gibt hier nur Informationen weiter und spricht keine Empfehlung aus.

    “Die App ist dort sogar als kostenpflichtig angegeben.”

    Schlecht recherchiert und folglich falsch wiedergegeben. Heise schreibt original “ai.type – App für Android gibt es als kostenlose Freeware-App und kostenpflichtige Plus-Version, die sich im Umfang unterscheiden.”. Das ist zu hundert Prozent richtig und vom Autor schlichtweg falsch beschrieben worden.

    “die Entwickler sitzen laut Google in Houston in den USA – die Firma wurde aber von Israelis gegründet”

    Was soll diese Aussage? Was hat die Nationalität der Gründer mit dem Aspekt der Datensicherheit zu tun? Hier werden Links gebildet, die weder logisch noch sinnvoll nachvollziehbar sind. Würde man die Reputation einer Firma am Herkunftsland der gründenden Personen festmachen, würde das schon an Rassismus grenzen. Ohne Beweise für einen ursächlichen Zusammenhang zwischen Nationalität und Datensicherheit, wie etwa das Arbeiten für eine dubiose Organisation oder einen ausländischen Geheimdienst, bewegt man sich auf sehr dünnem Eis.

    “Der Fall zeigt, dass man eigentlich keine Drittanbieter-Apps mehr auf seinen Mobilgeräten installieren darf. Damit ist dies der Todesstoß für das App-Modell und das gesamte Mobilgerätegeschäft”

    Das ist doch stark übertrieben geschrieben. Damit packt man alle Drittanbieter zusammen und wirft ihnen Schlamperei bei der Datensicherheit vor. Bei der Masse an Anbietern im Play Store oder App Store schlichtweg eine Frechheit, beinahe eine Rufschädigung. Von einem Profi erwarte ich eine differenzierte Meinungsäußerung, selbst wenn er vom Fach und nicht aus dem Journalismusbereich kommt. Was man hier hätte anführen können, wäre, dass ai.type nicht zum ersten Mal in dieser Hinsicht auffällig geworden ist.

    Auch wenn die Kernfakten hier stimmen, so ist der Artikel keine Werbung für seinen Verfasser. Da wurde mit Formulierungen und Hintergrundinfos zu sehr geschlampt.

    • Was heißt hier “stark übertrieben” oder “geschlampt”, er hat nur die Harten Fakten zu dem Programm und der Sicherheitslücke aufgezählt.

      Es ist ja auch nicht die Hauptdatenbank die dort gefunden worden ist und Monatelang für alle offen lag sondern eine etwas ältere, das soll nichts beschönigen mir würde es auch nicht gefallen wenn meine Daten im Netz offen und für jeden einsehbar herumliegen würde.

      Was wer beim lesen sich selbst daraus zusammenreimt steht auf einem anderen Blatt Papier

      • donionline sagt:

        Die Fakten stimmen auch, zumindest was den Kern der Aussage des Artikels angeht. Jedoch wird hier teils schlecht formuliert, teils übertrieben.

        Eine Pauschalisierung auf den Köpfen aller App-Anbieter aus zu tragen ist in meinen Augen unprofessionell. Selbst wenn es nur ein Blogbeitrag und keine wissenschaftliche Arbeit ist. So ist es doch ein wenig vermessen alle über einen Kamm zu scheren. Das kenne ich sonst nur von Medien wie der Bild-Zeitung. Und dieses Niveau wird hier, denke ich, nicht angestrebt.

        Es wurde ja Anfangs des Abgasskandals schließlich auch nicht pauschal über alle Autohersteller, sondern zuerst nur über VW, geurteilt. Danach kamen zwar Beweise auf, die auch andere Hersteller unter Druck setzten, jedoch war beispielsweise BMW davon ausgenommen. Würde man hier jedoch genauso pauschal urteilen, wären die Münchner auch mit im Topf der Schuldigen.

        Das dient nur zum anschaulichen Beispiel und soll auf die Gefahr einer Verurteilung Unschuldiger hinweisen. Auch wenn es wegen eines Blogbeitrages natürlich keine rechtlichen Folgen hätte.

        Es wäre ja auch kein Aufwand gewesen, die von mir angegebenen Stellen im Vorfeld noch einmal auf ihren Ausdruck und Gehalt zu prüfen. Oder man hätte sich einfach deutlicher ausdrücken müssen. Teils ist es nicht klar ersichtlich, wie das Geschriebene gemeint ist. Das ist eigentlich das hauptsächliche Problem hier.

        • Den Abgasskandal kannst du aber schlecht als Vergleich aufführen schließlich hat sich ja nun letztendlich herausgestellt das alle Autohersteller Europa weit geschummelt haben.

          Selbstverständlich sind Drittanbieter-Apps die Reinste Plage, weil du als Nutzer erstens nicht feststellen kannst welche Daten die App ohne deine Zustimmung im Hintergrund überträgt, geschweige denn ob die dann auch Tatsächlich Verschlüsselt werden und beim Anbieter auch Verschlüsselt sind.
          Zudem werden viele Apps zunächst Ordentlich Programmiert aber anschließend als Spam,-, Mailware und zur Kunden Spionage verwendet ohne das du davon Informiert wirst, so ist es verdammt schwierig anständige Apps noch zu finden, zum Glück habe ich da keine Probleme da meine Apps Masse Überschaubar ist.

          Ansonsten frage ich mich tatsächlich was du die ganze zeit hier Meckerst oder gehörst du auch zu dieser ai.type Truppe und versuchst hier schön Wetter für die App zu betreiben??

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.