虚拟键盘 AI.type 泄露 3100 万用户信息,你还敢用第三方输入法吗?

原标题:虚拟键盘 AI.type 泄露 3100 万用户信息,你还敢用第三方输入法吗?

时尚的网络用语以及多变的皮肤,第三方输入法往往成为替代手机自带输入法的最佳选择。

但如果这些虚拟键盘会泄露你的数据……

最近,据外媒报道,第三方键盘应用 AI.type 因储存信息的服务器未加密保护而泄露了超过 3100 万用户的个人数据。而储存在服务器上超过 577 GB 的用户敏感数据,包括用户的完整名字、电子邮件地址,以及应用安装的时长,甚至每条记录还包括用户的精确位置,如城市和国家。

免费版收集数据更多?

总部位于以色列特拉维夫的 AI.Type 宣称全球拥有超过 4000 万的用户量。而最先发现其数据库未加密的 Kromtech 安全中心的安全研究人员却质疑其收集用户信息与该虚拟键盘功能无关。

毕竟在研究人员安装 Ai.Type 时发现,用户必须允许其“完全访问”存储在测试 iPhone 上的所有数据,甚至包括曾经的键盘数据。

你以为这就结束了吗?

当然没有,研究人员还在其中某个泄露的数据库中发现了 3.746 亿个手机号码及 1070 万个电子邮箱地址,以及针对不同地区用户 Google 查询的平均信息量、信息字数、用户年龄等数据的统计表格。

一个第三方输入程序为什么需要收集用户手机或平板电脑的全部数据呢?

除此之外,AI.type 分为付费版本与免费版本,而根据其隐私政策,其免费版本收集的用户信息更为详细,包括设备的 MSI 和 IMEI,型号,屏幕分辨率和 Android 版本,甚至还有手机号码、服务商、IP 地址,用户公开的 Google 账号信息,用户在设备上安装的应用列表等。而这些数据一般被该公司用于广告盈利。

安卓用户再次沦陷

稍显奇怪的是,研究人员发现 AI.type 数据库中似乎只出现了 Android 用户的个人信息,也就是说 iOS 用户信息未被泄露。

移动安全爱好者无名侠告诉雷锋网,这与 iOS 系统本身防御无关,主要由于 App store 隐私政策禁止一切应用收集用户的个人信息(如电子邮件、序列号等),即 Ai.type 可能并没有收集 iOS 用户的数据,所以不存在 iOS用户信息泄露。另外,这次信息泄露的源头是服务器,ai.type 由于未对服务器的数据进行加密才导致大量泄露,如果服务端存在 iOS 用户的数据,也难以躲过这一场浩劫。

目前 AI.type 的联合创始人 Eitan Fitusi 称公司已经对数据库进行了加固操作,但他没有就此事发表评论。

尽管作为英文输入法的 Ai.type 并不会对国内大量用户产生影响,但也引发了围观群众对国内第三方输入法应用的担忧,毕竟这些输入法无时无刻都在上传用户的个人信息。无名侠也在此建议用户禁止输入应用的网络访问。

关于数据库保护

未对数据库加密的第三方输入法远不止 Ai.type,如此大规模的用户数据泄露的确为厂商敲响了警钟。值得思考的是,如何保证虚拟键盘应用数据库的数据安全?

无名侠告诉雷锋网,目前,Android 应用都会使用 Android 提供的 Sqlite 数据库。Sqlite 数据库本身支持加密,加密的 Sqlite 数据库将不能被直接访问。Sqlite 数据库是存放在用户手机本地的,但即使有加密,也可以通过逆向分析和动态调试等手段获得数据库密码。

当然,这很大程度上取决了系统的安全性,Android 系统在非 root 情况下,应用之间的数据库是不能互相访问,这一定程度上保护了 APP 私有数据的安全性。如果 Android 系统被 Root,那么其它恶意程序就能很容易得访问到正常程序的数据库。所以建议 Android 用户尽量不要 root,iOS 用户尽量不要越狱。

无名侠也建议厂商对本地数据库设置密码并对存储的数据进行二次加密,数据通信采用 HTTPS 协议并对服务器证书进行校验,数据包一律添加签名字段,尽可能保证服务端收到数据的真实性。

本文来自企鹅号 - 凤凰科技媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云加头条

运用双腾讯云搭建《饥荒》多人联机服务器

《饥荒》是由Klei Entertainment开发的一款动作冒险类求生沙盒游戏,是目前较火的一个独立游戏。多人联机服务器让你和你的小伙伴可以合作,共同在沙盒世...

1.6K0
来自专栏我是攻城师

嘿,这里有一份来自JetBrains公司的福利

这两天国外最热的互联网新闻莫过于微软高价收购github公司了,然后讨论最多的就是关于微软对开源的态度,这里不管结果如何,我都希望github这个网站能不变初心...

1094
来自专栏机器人网

【解读】ABB机器人虚拟仿真技术

工业自动化的市场竞争压力日益加剧,客户在生产中要求更高的效率,以降低价格,提高质量。如今让机器仍编程在新产品之始花费时间检测或试运行是行不通的,因为这意味着要停...

962
来自专栏青枫的专栏

软件的各版本分类介绍

  此版本表示该软件仅仅是一个初步完成品,通常只在软件开发者内部交流,也有很少一部分发布给专业测试人员。一般而言,该版本软件的bug(漏洞)较多,普通用户最好不...

1261
来自专栏SAP最佳业务实践

SAP最佳业务实践:MM–转包(138)-2采购

2 流程概览表 流程步骤业务条件业务角色事务代码预期结果手动创建转包订单–采购员ME21N已创建采购订单分配采购申请并创建采购订单此活动为计划转包分配采购申请...

4184
来自专栏我是攻城师

嘿,这里有一份来自JetBrains公司的福利

这两天国外最热的互联网新闻莫过于微软高价收购github公司了,然后讨论最多的就是关于微软对开源的态度,这里不管结果如何,我都希望github这个网站能不变初心...

2625
来自专栏SDNLAB

Jaguar项目 FAQ

自我们发起JAGUAR(捷豹)这个开源项目以来,受到了很多业界同仁的关注,关于一些常见的问题我们通过这篇文章进行一个比较全面的回答,希望能够解决大家的一些疑惑。...

552
来自专栏CSDN技术头条

互联网中小型企业的持续集成CICD

本文来自作者 SoftwareLuke 在 GitChat 上分享 「互联网中小型企业的持续集成CICD」 互联网研发的世界里唯快不破、迭代速度往往很快。在快速...

7008
来自专栏企鹅号快讯

Skygofree:卡巴斯基称其为史上功能最强大的Android间谍软件

“用指尖改变世界” ? 被称为Skygofree的Android间谍软件是专为有针对性的监控而设计的,据俄罗斯网络安全公司卡巴斯基实验室发布的一份报告描述,在过...

1906
来自专栏SDNLAB

SONiC项目的发展及其相关介绍

2234

扫码关注云+社区