吓得我瓜子掉了一地:第三方输入法泄露3100万用户数据!

啥?用户信息又泄露了!

流行虚拟键盘应用 AI.type 因储存信息的服务器未加密保护而泄漏了 3100 万用户信息。服务器上储存了超过 577 GB 的用户敏感数据,包括用户的完整名字、电子邮件地址,以及应用安装的时长,每条记录还包括用户的精确位置,如城市和国家。

在数字时代,最流行的说法之一是—— 如果你不付钱,那么你不是客户,而是产品。

当我们在智能手机上下载应用程序时,大多数用户可能不知道自己被收集了多少数据。

相信我, 这远远超出你的想象

Kromtech安全中心的一组安全研究人员发现,拥有超过3100万用户的流行虚拟键盘应用程序AI.type上的大量个人数据意外泄漏到网上,无需任何密码即可下载!

AI.type成立于2010年,是一款针对移动手机和平板的自定义和个性化虚拟键盘,Google Play 应用商店的下载量达到约4000万次。这个配置错误的MongoDB数据库在线暴露了577GB数据,包含用户的敏感信息,然而这些数据并不是运行该应用的必需数据。研究人员强调,AI.Type会请求“完全访问”用户移动设备上存储的所有数据,包括历史及当前的键盘数据。

未设密码保护,任何人可下载这些用户(数量超过3100万)的个人数据。

研究人员指出,无需密码,任何人均可下载这些数据。泄露的数据十分详细,包括:

全名、电话号码和电子邮箱;

设备名称、屏幕分辨率和机型详情;

安卓版本、IMSI号码和IMEI号码;

移动网络名称、居住国家、甚至包括用户启用的语言;

IP地址以及GPS位置;

与社交媒体资料相关的链接和信息,包括出生日期、电子邮件、照片等。

这也太~详细了吧!

你以为这就结束了???

当然没有,研究人员还在其中某个泄露的数据库中发现了3.746亿个手机号码及1070万个电子邮箱地址,以及针对不同地区用户Google查询的平均信息量、信息字数、用户年龄等数据的统计表格。

研究人员继续提出一个问题:“为什么键盘和表情符号应用程序需要收集用户手机或平板电脑的全部数据?”

最近多个数据泄露事件也告诉我们,一旦我们的个人数据掌握在网络犯罪分子手中,就会使我们永远处于弱势地位。

目前AI的联合创始人EitanFitusi称公司已经对数据库进行了加固操作,但他没有就此事发表评论。

关于数据库的保护

尽管作为英文输入法的AI并不会对国内大量用户产生影响,但也引发了围观群众对国内第三方输入法应用的担忧,毕竟这些输入法无时无刻都在上传用户的个人信息。关于未对数据库加密进行保护的第三方输入法远不止AI.type,如此大规模的用户数据泄露的确为厂商敲响了警钟。值得思考的是,如何保证虚拟键盘应用数据库的数据安全?

目前,Android 应用使用的是 Sqlite 数据库。Sqlite 数据库本身支持加密,加密的 Sqlite 数据库将不能被直接访问。Sqlite 数据库是存放在用户手机本地的,但即使有加密,也可以通过逆向分析和动态调试等手段获得数据库密码。

当然,这很大程度上取决了系统的安全性,Android 系统在非 root 情况下,应用之间的数据库是不能互相访问的,这一定程度上保护了 APP 私有数据的安全性。如果 Android 系统被 Root,那么其它恶意程序就能很容易得访问到正常程序的数据库。所以建议 Android 用户尽量不要 root,iOS 用户尽量不要越狱。

同时建议厂商对本地数据库设置密码并对存储的数据进行二次加密,数据包一律添加签名字段,数据通信采用 HTTPS 协议,尽可能保证服务端收到数据的真实性。

网友评论

网友

手机一天不“越狱”我浑身难受啊~

“越狱”只是一时痛快,有潜在危险哦。

小编

网友

看了这篇推文后我默默地卸载了刚换的皮肤超可爱的输入法。

额,用的是这次的“主角”AI.type吗?不过这次的风波让不少的第三方输入软件商躺枪啊。

小编

网友

这些个厂商就不能上点心吗?再说你个程序商收集我们用户信息干啥呢?

谁知道有何居心呢?若不是这次数据库信息泄露事件曝光,用户还会继续蒙在鼓里。

小编

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20171214A0068600?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券