Förutom oro för att en tvivelaktig tangentbordsapp skulle kunna logga alla dina tangenttryckningar och skicka den till någon misstänkt tredje part, skulle du hoppas att något så enkelt som att skriva var bekymmersfritt. Tyvärr inte, eftersom en otroligt populär tangentbordsapp just har drabbats av ett enormt dataintrång, allt eftersom den inte lagrade personlig användarinformation på en säker server.
Appen, AI.type, lagrade sina data på en server som ägs av företagets grundare Eitan Fitusi. Servern innehöll användarinformation, inklusive personliga register, på totalt över 577 gigabyte med känslig data inklusive namn, e-post och hur länge appen hade varit installerad. Uppgifterna innehöll också information om användarens exakta plats, inklusive stad och land.
Bisarrt nog är det bara Android-användare som påverkas av intrånget, förmodligen för att iOS-användarinformation lagras på en separat serverdatabas.
Dataintrånget upptäcktes av säkerhetsforskare Kromtech Security Center och sedan bekräftas av ZDNet. Intressant nog har Fitusi reparerat säkerhetsbortfallet men har inte utfärdat ett uttalande om informationsintrånget utöver att erkänna att det hade hänt.
LÄS NÄSTA: Hur man stoppar över 400 sajter som loggar allt du skriver
Användare på gratisversionen har mer data från sin användning än den för den betalda versionen – ett uttalande som tydligt framgår av deras integritetspolicy. Denna data tjänas sedan in genom annonsering, men den lagrades också på den osäkra servern, länkad till enskilda användare. Den innehöll också till synes värdelös information som varje användares IMSI och IMEI enhetsnummer – som är unika nummer för att identifiera en telefon i det globala nätverket och ett för att identifiera den på ett visst nätverk – tillsammans med information om märke och modell, skärmupplösning och till och med versionen av Android den körs.
Mest oroväckande av allt innehöll några av de mer fullständiga uppgifterna användarens telefonnummer och namnet på deras mobilnätsoperatör. Vissa angav också sina IP-adresser och namnet på internetleverantören för de Wi-Fi-nätverk som användaren hade åtkomst till när han använde AI.type. De som loggade in i appen med en Google-profil fick också sin information skrapad och avslöjade e-postadresser, födelsedatum, kön och till och med profilbilder.
ZDNet bekräftade också att AI.type skrapade kontaktinformation från användarens telefoner, med datatabeller som innehåller över 10,7 miljoner e-postadresser och en annan med 374,6 miljoner telefonnummer. Andra tabeller inkluderade också en lista över andra appar som är installerade på en enhet, även om den inte verkar ha fångat någon data inifrån dem.
LÄS NÄSTA: Sökmotorn för integritetsmedvetna
Intressant nog säger AI.type på sin hemsida att användarnas integritet ”är vår främsta oro”, och att all text som skrivs in på tangentbordet ”förblir krypterad och privat”. Förutom de omfattande behörigheter som tangentbord har på Android, inklusive möjligheten att läsa textmeddelanden, visa foton och videor och till och med spela in ljud, kombinerat med det faktum att det inte lagrade användardata i en säker lagring, måste du undra hur exakt det är.
AI.type anger också att den ”aldrig kommer att dela dina data eller lära sig av lösenordsfält”, men som ZDNet höjdpunkter, det fanns en tabell med 8,6 miljoner poster med känslig information loggade och lagrade via tangentbordet. Det var inte heller obetydliga detaljer, de innehöll telefonnummer, webbsökningar och e-postadresser och motsvarande lösenord.
De som betalade för appen skulle ha mycket mindre data exponerad, men det är fortfarande oklart hur mycket av deras information som också har samlats in. Man skulle alltid förvänta sig att en gratis app skulle komma med några varningar, men om den betalda appen också samlade in samma nivå av känslig data, har AI.type några allvarliga frågor att svara på.
Med 31 miljoner Android-användare exponerade, och potentialen för fler att vara i riskzonen på iOS, måste du luta dig tillbaka och undra om det verkligen är värt att flytta bort från ett säkert OS-specifikt tangentbord till en tredjepartsapp.
