虚拟键盘 AI.type 泄露 3100 万用户信息,你还敢用第三方输入法吗?

原标题:虚拟键盘 AI.type 泄露 3100 万用户信息,你还敢用第三方输入法吗?

时尚的网络用语以及多变的皮肤,第三方输入法往往成为替代手机自带输入法的最佳选择。

但如果这些虚拟键盘会泄露你的数据……

最近,据外媒报道,第三方键盘应用 AI.type 因储存信息的服务器未加密保护而泄露了超过 3100 万用户的个人数据。而储存在服务器上超过 577 GB 的用户敏感数据,包括用户的完整名字、电子邮件地址,以及应用安装的时长,甚至每条记录还包括用户的精确位置,如城市和国家。

免费版收集数据更多?

总部位于以色列特拉维夫的 AI.Type 宣称全球拥有超过 4000 万的用户量。而最先发现其数据库未加密的 Kromtech 安全中心的安全研究人员却质疑其收集用户信息与该虚拟键盘功能无关。

毕竟在研究人员安装 Ai.Type 时发现,用户必须允许其“完全访问”存储在测试 iPhone 上的所有数据,甚至包括曾经的键盘数据。

你以为这就结束了吗?

当然没有,研究人员还在其中某个泄露的数据库中发现了 3.746 亿个手机号码及 1070 万个电子邮箱地址,以及针对不同地区用户 Google 查询的平均信息量、信息字数、用户年龄等数据的统计表格。

一个第三方输入程序为什么需要收集用户手机或平板电脑的全部数据呢?

除此之外,AI.type 分为付费版本与免费版本,而根据其隐私政策,其免费版本收集的用户信息更为详细,包括设备的 MSI 和 IMEI,型号,屏幕分辨率和 Android 版本,甚至还有手机号码、服务商、IP 地址,用户公开的 Google 账号信息,用户在设备上安装的应用列表等。而这些数据一般被该公司用于广告盈利。

安卓用户再次沦陷

稍显奇怪的是,研究人员发现 AI.type 数据库中似乎只出现了 Android 用户的个人信息,也就是说 iOS 用户信息未被泄露。

移动安全爱好者无名侠告诉雷锋网,这与 iOS 系统本身防御无关,主要由于 App store 隐私政策禁止一切应用收集用户的个人信息(如电子邮件、序列号等),即 Ai.type 可能并没有收集 iOS 用户的数据,所以不存在 iOS用户信息泄露。另外,这次信息泄露的源头是服务器,ai.type 由于未对服务器的数据进行加密才导致大量泄露,如果服务端存在 iOS 用户的数据,也难以躲过这一场浩劫。

目前 AI.type 的联合创始人 Eitan Fitusi 称公司已经对数据库进行了加固操作,但他没有就此事发表评论。

尽管作为英文输入法的 Ai.type 并不会对国内大量用户产生影响,但也引发了围观群众对国内第三方输入法应用的担忧,毕竟这些输入法无时无刻都在上传用户的个人信息。无名侠也在此建议用户禁止输入应用的网络访问。

关于数据库保护

未对数据库加密的第三方输入法远不止 Ai.type,如此大规模的用户数据泄露的确为厂商敲响了警钟。值得思考的是,如何保证虚拟键盘应用数据库的数据安全?

无名侠告诉雷锋网,目前,Android 应用都会使用 Android 提供的 Sqlite 数据库。Sqlite 数据库本身支持加密,加密的 Sqlite 数据库将不能被直接访问。Sqlite 数据库是存放在用户手机本地的,但即使有加密,也可以通过逆向分析和动态调试等手段获得数据库密码。

当然,这很大程度上取决了系统的安全性,Android 系统在非 root 情况下,应用之间的数据库是不能互相访问,这一定程度上保护了 APP 私有数据的安全性。如果 Android 系统被 Root,那么其它恶意程序就能很容易得访问到正常程序的数据库。所以建议 Android 用户尽量不要 root,iOS 用户尽量不要越狱。

无名侠也建议厂商对本地数据库设置密码并对存储的数据进行二次加密,数据通信采用 HTTPS 协议并对服务器证书进行校验,数据包一律添加签名字段,尽可能保证服务端收到数据的真实性。

本文来自企鹅号 - 凤凰科技媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

跨平台恶意软件Adwind卷土重来,这一次倒霉的是航空航天领域

网络犯罪分子其实都是机会主义者,随着各类操作系统的应用范围越来越广泛,他们也在不断地丰富自己的工具和技术。与此同时,为了尽可能地在网络犯罪活动中谋取更多的经济利...

2805
来自专栏FreeBuf

隐私泄露 | 查开房网站的背后

0×00前言 随着网络的发展,个人信息泄露情况不断升级,个人信息在“黑市”的贩卖日益猖獗。网络中早已公然兜售酒店开房等信息,而这些信息仅可在少数渠道才可获得,准...

1K9
来自专栏FreeBuf

保护物联网安全的6条基本原则,你做到了几条?

随着物联网深入普及,点进来看这篇文章的你肯定也听说过各种关于“物联网宿命”的预言。任何联网的设备,例如,监控摄像、路由器、数字视频记录器、可穿戴设备、智能灯等都...

19410
来自专栏FreeBuf

新型鼠标光标劫持攻击将允许攻击者劫持GoogleChrome会话

近期,研究人员发现了一种新型的技术支持诈骗技术,攻击者可以利用这种技术来劫持Google Chrome用户的浏览会话。

703
来自专栏FreeBuf

威胁远胜“心脏出血”?国外新爆Bash安全漏洞

这几天Linux用户们可能不能愉快地玩耍了,红帽(Redhat)安全团队昨天爆出一个危险的Bash Shell漏洞。其带来的威胁可能比早前披露的“心脏出血”漏洞...

1977
来自专栏黑白安全

美权威机构:微软苹果Linux等操作系统遭受严重安全漏洞威胁

5月10日消息,美国计算机安全应急响应中心(以下简称“CERT”)今日通过公告宣称,Windows、macOS、Linux、FreeBSD、VMware和Xen...

501
来自专栏安智客

物联网设备六种攻击面及其应对

Gartner的最新报告指出,近20%的企业机构在过去三年内至少观察到一次基于物联网的攻击。为了应对这些威胁,Gartner预测全球物联网安全支出将在2018年...

1002
来自专栏FreeBuf

2014年漏洞最多的操作系统:苹果Mac OS X、iOS和Linux

微信号:freebuf 无论是Mac OS X还是iPhone iOS,苹果系统一直被认为是最安全的操作系统。然而在2014年,苹果系统却获得了漏洞最多的“殊荣...

1986
来自专栏知晓程序

网盘纷纷倒下,只有这个小程序才能救我于水火 | 亲儿子

我在广州冷热交加的空气,瑟瑟发抖的度过了半个月。最终还是没熬过,一周前光荣地倒在了流感的洪流中,转变为匍匐前进的工作模式。

933
来自专栏黑白安全

告诉你怎么样用WIFI逐步渗透至内网

这个是我帮助朋友公司做的一个渗透测试,在这之前,并没有收到任何相关信息,唯一的可用渠道就是WIFI,而对方的要求就是希望我测试一下,整个网络是否安全,是否存在漏...

1124

扫码关注云+社区