Un app de tastatură virtuală expune datele personale a 31 de milioane de utilizatori


 

Datele personale a peste 31 de milioane de utilizatori ai unei aplicații Android terțe de tastatură smartphone numită ai.type, au fost expuse din cauza bazei de date online neprotejate.
În total, aproape 580 de gigabytes de înregistrări ale utilizatori au fost lăsate vizibile într-o bază de date MongoDB pentru că dezvoltatorul aplicației din Israel nu  a utilizat nicio formă de autentificare pentru a-și securiza serverul cu baza de date.

Aplicațiile pentru tastatură ale dezvoltatorului sunt folosite de 40 de milioane de utilizatori  Android și iOS, dar numai utilizatorii de dispozitive Android au fost afectați de pierderea de securitate.

CEO-ul și fondatorul ai.type, Eitan Fitusi, a raportat ulterior că a asigurat datele cu o parolă după ce a fost semnalat de această problemă de mai multe ori. Înainte ca acest lucru să se întâmple, însă, baza de  informație valoroasă  a putut cu lejeritate să devină pradă oricărui atacator care identifica această vulnerabilitate.

Poate că, la fel de îngrijorător, este tipul informațiilor preluate de app-ul third-party de tastatura on-screen, care reprezintă o alternativă la tastatura smartphone standard.

Rapoartele sugerează că gama informațiilor personale devenite vizibile este foarte largă, variind dacă utilizatorii au instalat versiunea gratuită sau plătită a aplicației. Informațiile colectate au inclus numele complete, adresele de e-mail, datele de locație, IMSI (identitatea la nivel internațional a abonaților dispozitivului și numărul IMEI (identitatea echipamentelor mobile internaționale), marca și modelul acestuia, versiunea Android, detalii din profilul public Google al utilizatorilor, și conținutul de adrese ale utilizatorilor.

De asemenea, a fost găsit un tabel din baze de date care conține peste 8,6 milioane de intrări de text introduse de pe tastatură și despre care se părea că includea adresele de e-mail și parolele acestora.

Între timp, Fitusi a fost citat spunând că datele aflate în pericol nu au fost atât de extinse cum s-a pretins și că aplicația nu sustrage informații de la utilizatori.

"A fost o bază de date secundară", a declarat el pentru BBC, adăugând că datele de geo-locație nu erau exacte, că nicio informație IMEI nu a fost extrasă și, de asemenea, că elementele înregistrate din comportamentul utilizatorilor  de către companie s-au rezumat la informații legate de anunțurile publicitare pe care au dat click.

Ca răspuns la astfel de practici de colectare a datelor, specialistul de securitate ESET Mark James a afirmat că " menținerea siguranței unei baze mari de date este o întreprindere dificilă și din nefericire, în acest caz, pericolul nu a putut fi ținut la distanță".

"Baza de date nu a fost configurată corect și, astfel, a permis accesul complet de pe internet la toate datele deținute, făcându-l liber pentru accesul complet", a adăugat el.

Un alt app de tastatură, SwiftKey, a avut parte de probleme de securitate în iulie anul trecut, după ce s-a raportat că unii utilizatori au primit mesaje predictive destinate altor persoane, inclusiv adrese de e-mail și numere de telefon. Blamând eroarea pe un bug din programul de sincronizare al tastaturii, producătorul aplicației a suspendat temporar sincronizarea în cloud.

Utilizatorilor li se recomandă să fie atenți la instalarea aplicațiilor mobile. Acest sfat este, probabil, de două ori mai indicat în ceea ce privește aplicațiilor de tastatură care, prin însăși natura lor, au acces la toate datele introduse de utilizatori, inclusiv la cele mai sensibile informații, cum ar fi parolele și detaliile cărților de credit.

Walif Issa January 25, 2018

Lasa un comentariu