虚拟键盘 AI.type 泄露 3100 万用户信息,你还敢用第三方输入法吗?

原标题:虚拟键盘 AI.type 泄露 3100 万用户信息,你还敢用第三方输入法吗?

时尚的网络用语以及多变的皮肤,第三方输入法往往成为替代手机自带输入法的最佳选择。

但如果这些虚拟键盘会泄露你的数据……

最近,据外媒报道,第三方键盘应用 AI.type 因储存信息的服务器未加密保护而泄露了超过 3100 万用户的个人数据。而储存在服务器上超过 577 GB 的用户敏感数据,包括用户的完整名字、电子邮件地址,以及应用安装的时长,甚至每条记录还包括用户的精确位置,如城市和国家。

免费版收集数据更多?

总部位于以色列特拉维夫的 AI.Type 宣称全球拥有超过 4000 万的用户量。而最先发现其数据库未加密的 Kromtech 安全中心的安全研究人员却质疑其收集用户信息与该虚拟键盘功能无关。

毕竟在研究人员安装 Ai.Type 时发现,用户必须允许其“完全访问”存储在测试 iPhone 上的所有数据,甚至包括曾经的键盘数据。

你以为这就结束了吗?

当然没有,研究人员还在其中某个泄露的数据库中发现了 3.746 亿个手机号码及 1070 万个电子邮箱地址,以及针对不同地区用户 Google 查询的平均信息量、信息字数、用户年龄等数据的统计表格。

一个第三方输入程序为什么需要收集用户手机或平板电脑的全部数据呢?

除此之外,AI.type 分为付费版本与免费版本,而根据其隐私政策,其免费版本收集的用户信息更为详细,包括设备的 MSI 和 IMEI,型号,屏幕分辨率和 Android 版本,甚至还有手机号码、服务商、IP 地址,用户公开的 Google 账号信息,用户在设备上安装的应用列表等。而这些数据一般被该公司用于广告盈利。

安卓用户再次沦陷

稍显奇怪的是,研究人员发现 AI.type 数据库中似乎只出现了 Android 用户的个人信息,也就是说 iOS 用户信息未被泄露。

移动安全爱好者无名侠告诉雷锋网,这与 iOS 系统本身防御无关,主要由于 App store 隐私政策禁止一切应用收集用户的个人信息(如电子邮件、序列号等),即 Ai.type 可能并没有收集 iOS 用户的数据,所以不存在 iOS用户信息泄露。另外,这次信息泄露的源头是服务器,ai.type 由于未对服务器的数据进行加密才导致大量泄露,如果服务端存在 iOS 用户的数据,也难以躲过这一场浩劫。

目前 AI.type 的联合创始人 Eitan Fitusi 称公司已经对数据库进行了加固操作,但他没有就此事发表评论。

尽管作为英文输入法的 Ai.type 并不会对国内大量用户产生影响,但也引发了围观群众对国内第三方输入法应用的担忧,毕竟这些输入法无时无刻都在上传用户的个人信息。无名侠也在此建议用户禁止输入应用的网络访问。

关于数据库保护

未对数据库加密的第三方输入法远不止 Ai.type,如此大规模的用户数据泄露的确为厂商敲响了警钟。值得思考的是,如何保证虚拟键盘应用数据库的数据安全?

无名侠告诉雷锋网,目前,Android 应用都会使用 Android 提供的 Sqlite 数据库。Sqlite 数据库本身支持加密,加密的 Sqlite 数据库将不能被直接访问。Sqlite 数据库是存放在用户手机本地的,但即使有加密,也可以通过逆向分析和动态调试等手段获得数据库密码。

当然,这很大程度上取决了系统的安全性,Android 系统在非 root 情况下,应用之间的数据库是不能互相访问,这一定程度上保护了 APP 私有数据的安全性。如果 Android 系统被 Root,那么其它恶意程序就能很容易得访问到正常程序的数据库。所以建议 Android 用户尽量不要 root,iOS 用户尽量不要越狱。

无名侠也建议厂商对本地数据库设置密码并对存储的数据进行二次加密,数据通信采用 HTTPS 协议并对服务器证书进行校验,数据包一律添加签名字段,尽可能保证服务端收到数据的真实性。

本文来自企鹅号 - 凤凰科技媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏区块链技术指北

区块链资产安全攻略

这是「区块链技术指北」的第 8 篇文章。 如果对我感兴趣,想和我交流,我的微信号:Wentasy,加我时简单介绍下自己,并注明来自「区块链技术指北」。同时我会把...

3669
来自专栏PHP技术

如何引导访客注册

原文出处: gkogan 译文出处:TerryFan 许多初创公司的命运几乎完全取决于一个转换点:访问者何时转换成用户。 很多时候,这个关键的任务落在了...

2546
来自专栏SEO

「思考」5个方面解析什么是百度眼中的优质内容

30412
来自专栏Golang语言社区

HTML5对APP开发最终用户的三大优势

一、大幅降低使用门槛   为什么流媒体会替代下载视频成为主流?为什么页游会如此火爆?只因用户太“懒”。让用户更方便的满足需求,有时效果好于更多的满足需求。  用...

3506
来自专栏沈唁志

如何才能让网站被搜索引擎快速收录

1595
来自专栏罗超频道

WIN10初体验:期待越多,失望越大。

我大多数时候使用MacBook,不过WIN10(预览版)的推送还是让我忍不住升级玩玩——它是微软史上首款真正意义上的免费操作系统,正式版将与中国诸多互联网巨头联...

2747
来自专栏安恒信息

日本游戏厂商Konami3万5千账号密码泄露

7月9日,日本Konami数字娱乐有限公司宣称,在其入口网站Konami ID上发现了35,252起成功的非法登录。登录者使用从第三方渠道获得的ID号及密码进行...

2556
来自专栏*坤的Blog

融资2.5亿的“自主国产”红芯浏览器,其实是个套壳Chrome

今天早上看到朋友发的浏览器图片,感觉很好奇,然后就看了下,感觉文章还不错,就转发了下,然后下载浏览器着实花了不小心思,最后文末添加了转存在蓝奏云盘的连接了.

1453
来自专栏移动安全

加固失败,提示安全风险该怎么解决?

用户上传的apk,移动安全-应用加固会使用杀毒引擎先过滤一遍,对于出现安全风险的应用不会给予加固操作,因为有安全风险的软件,上架到应用市场也是会被拒绝;

1.3K11
来自专栏全华班

让你见识一下什么是牛X的解决方案!

IBM BPM解决方案 一、IBM BPM都有哪些内容? ? 二、IBM BPM都有哪些内容? ? 三、利用IBP BPM可以实现业务部分与IT部门的高度协...

3264

扫码关注云+社区