Ogromny wyciek danych użytkowników aplikacji mobilnej wirtualnej klawiatury

dodał 7 grudnia 2017 o 09:34 w kategorii Prywatność  z tagami:
Ogromny wyciek danych użytkowników aplikacji mobilnej wirtualnej klawiatury

Dane należące do ponad 31 mln użytkowników popularnej klawiatury wirtualnej na urządzenia mobilne – AI.type – wyciekły po tym, jak twórcy aplikacji pozostawili bazę danych bez zabezpieczeń. Aplikacji używa ponad 40 mln osób na całym świecie.

Firma Kromtech Security Center odkryła w sieci niezabezpieczoną przed nieautoryzowanym dostępem bazę danych MongoDB, zawierającą dane użytkowników aplikacji AI.type. Nawet jeśli nie korzystaliście z tej aplikacji, to niestety nie mamy dla Was dobrej wiadomości, ponieważ w bazie były nie tylko dane użytkowników tej aplikacji – ale także ich kontaktów.

Jakie dane były dostępne

Baza znajdowała się na serwerze należącym do współtwórcy i współwłaściciela AI.type, Eitana Fitusiego. Serwer nie był zabezpieczony nawet za pomocą hasła, tym samym zezwalając na dostęp do bazy danych wszystkim, którzy mieli na to ochotę. Na serwerze znajdowało się ponad 577 gigabajtów danych wrażliwych. Każdy rekord zawierał podstawowe dane o użytkowniku, w tym jego imię, nazwisko, adres e-mail i ilość dni, które upłynęły od instalacji aplikacji na jego urządzeniu. Oprócz tych informacji, rekordy zawierały również informacje wrażliwe – takie, jak dokładna lokalizacja użytkownika. Co ważne, na wyciek danych narażeni byli nie tylko użytkownicy aplikacji, ale także… ich znajomi. Badacze natrafili również na kilka tabel zawierających dane kontaktowe pochodzące z książek telefonicznych zapisanych na smartfonach osób korzystających z AI.type – 374,6 mln numerów telefonów oraz 10,7 mln adresów e-mail. 

W bazie danych odnaleziono również zapisy, które zawierają więcej danych. Pochodzą one z bezpłatnej wersji aplikacji, która zbiera zdecydowanie więcej danych, niż jej wersja płatna. Dane z wersji darmowej używane są przez firmę do monetyzacji swojego produktu za pomocą reklam. Bardziej szczegółowe rekordy zawierają również informacje nt. numerów seryjnych urządzeń, w tym nr IMEI, a także nazwę dostawcy usług telekomunikacyjnych każdego użytkownika. Zapisywane również były dane adresu IP użytkownika za każdym razem, gdy jego urządzenie łączyło się z publiczną siecią bezprzewodową. Wiele wpisów w bazie danych, z której wyciekły informacje, zawierało również szczegółowe dane na temat publicznych profili osób korzystających z aplikacji w Google, w tym – także fotografie.

Baza danych, z której wyciekły informacje, obejmowała jedynie rekordy związane z użytkownikami AI.type przeznaczonej na telefony z systemem Android. Dane zabezpieczono po kilku próbach kontaktu z Fitusim, który ostatecznie potwierdził incydent.

Firma AI.type twierdzi, że „prywatność jest dla niej bardzo ważna”, a treść wpisywana przez użytkowników aplikacji pozostaje „zaszyfrowana i prywatna”. Tymczasem, specjaliści od cyberbezpieczeństwa, którzy poinformowali o wycieku danych, znaleźli również dowody temu przeczące – okazało się, że treści wpisywane na klawiaturze przez użytkowników są zapisywane i przechowywane przez firmę AI.type. Niektóre z nich to informacje wrażliwe, takie jak hasła dostępu do poczty elektronicznej, numery telefonów czy treść wyszukiwań internetowych.

Nie pierwszy taki przypadek

Przypadek AI.type nie jest jedyny. Ogromny wyciek danych stał się również udziałem popularnej klawiatury wirtualnej SwiftKey. Miał miejsce w lipcu 2016 roku. Stworzona w Wielkiej Brytanii aplikacja korzysta m.in. z systemu predykcji oraz sztucznej inteligencji. Aplikacja, która jest dostępna na systemu iOS oraz Android uzyskuje dostęp do wielu wrażliwych informacji w celu lepszego przewidywania, co dany użytkownik zamierza wpisać. Spersonalizowane dane są następnie przesyłane na serwery firmy, tak, aby użytkownik instalując aplikację ponownie, bądź korzystając z niej na innym urządzeniu miał dostęp do zachowanych danych wprowadzonych wcześniej.

Po tym jak liczni użytkownicy zgłaszali, że w podpowiedziach klawiatura sugerowała im nieznane słowa (m.in. w języku niemieckim) bądź adresy e-mail i numery telefonów SwiftKey zawiesił czasowo usługę synchronizacji danych w chmurze. W oświadczeniu firma stwierdziła, że incydent nie stanowił zagrożenia bezpieczeństwa dla klientów, jednak usługa synchronizacji danych została zawieszona aż do czasu usunięcia błędu.

Za usługę płacimy danymi

Wyciek ze SwiftKey nie stanowił tak dużego zagrożenia jak przedstawiony powyżej przykład Al.type, jednak przypadek SwiftKey obrazuje jak wiele danych osobowych dobrowolnie oddajemy w ręce firm tworzących różne oprogramowanie za jedynie iluzję darmowości produktu.

Nie jest jasne, dlaczego aplikacja AI.type zbierała tak szczegółowe informacje na temat swoich użytkowników – oczywistością jest jednak, że dane prywatne to dziś waluta, za którą nabywamy “darmowe” oprogramowanie, często gratis otrzymując sprzedaż naszych danych stronom trzecim, w konsekwencji zaś – niechciany marketing, a także ryzyko dużo szersze, związane z aktywnością przestępców – jak na przykład tworzenie fałszywych tożsamości.

Klawiatury wirtualne firm trzecich mogą oferować pozornie lepszą funkcjonalność niż domyślne klawiatury dostępne w systemach iOS i Android, należy jednak sobie zadać pytanie: jak bezpieczne są wirtualne klawiatury i w jaki sposób dbają o naszą prywatność?

W przypadku systemu iOS użytkownik musi udzielić aplikacji pełnego dostępu do danych. Oznacza to w praktyce, że wszystko co zostanie wprowadzone za pomocą takiej klawiatury może być przesyłane na serwery dewelopera. W celu uzyskania informacji jakie dane zbierają takie aplikacje, należy zagłębić się w politykę prywatności każdej firmy. Mało kto z nas jednak ma ochotę na czytanie rozwlekłych dokumentów napisanych ciężko przyswajalnym językiem – a zdecydowanie powinniśmy to robić.

Należy również zastanowić się nad tym w jaki sposób aplikacja zarabia na siebie, jeśli jest darmowa? Czy przypadkiem sposobem na uzyskiwanie dochodów nie jest obrót danymi osobowymi uzyskanymi od milionów użytkowników na całym świecie, albo prosta ich monetyzacja za pośrednictwem systemów reklamy ukierunkowanej? Nawet, jeśli deweloper nie sprzeda dalej naszych danych – jaką mamy gwarancję, że nie zrobią tego reklamodawcy, którzy od niego je pozyskali?

W celu maksymalizacji własnego bezpieczeństwa, użytkownicy powinni wystrzegać się korzystania z klawiatur wirtualnych firm trzecich. Przedstawione przykłady pokazują, że firmy bardzo często nie są w stanie zapewnić odpowiedniego poziomu ochrony danych osobowych i mogą być podatne na ataki, bądź po prostu dzięki własnej niedbałości narażać użytkowników na niebezpieczeństwo. Tymczasem, domyślne funkcjonalności mobilnych systemów operacyjnych stają się coraz bardziej dopracowane. Warto zatem zastanowić się, czy naprawdę potrzebujemy nakładki na klawiaturę.