导语:近日,据外媒报道称,由于AI.type虚拟键盘(on-screen keyboards)应用程序的开发者未能保护数据库的服务器,导致属于该应用程序的超过3100万用户的个人数据在线泄漏。
近日,据外媒报道称,由于AI.type虚拟键盘(on-screen keyboards)应用程序的开发者未能保护数据库的服务器,导致属于该应用程序的超过3100万用户的个人数据在线泄漏。
据悉,该服务器为AI.type的共同创始人Eitan Fitusi所有,其应用程序是一种可定制且可个性化的虚拟键盘,目前在全球已经拥有超过4000万名用户。但是遗憾的是,该服务器没有任何密码保护,允许任何人访问公司的用户记录数据库,其中包含超过577G的敏感数据。
泄漏数据类型
研究人员分析后发现,该数据库中似乎只包含使用该应用程序的Android用户的记录。Kromtech安全中心的安全研究人员率先发现了这一现象,并在多次联系Fitusi后获得响应。上周末,Fitusi已经承认其存在安全失误,随后便对该服务器进行了安全保护,但在要求对此事发表评论时,Fitusi拒绝给出任何回应。
研究人员利用获取到的部分数据库信息进行分析后发现,每条记录中都包含一些基本的用户数据,其中包括用户的全名、电子邮件地址以及安装该应用程序多少天了,甚至还包含用户的确切位置信息,如他们所处的国家以及城市等。
据悉,该应用程序还有一个免费版本,根据其隐私政策,该免费版本收集的收集比付费版本更多、更为详细,而这些数据一般被该公司用于广告盈利。
免费版本中收集的更完整的记录还包括设备的IMSI和IMEI号码、设备的品牌和型号、屏幕分辨率以及设备特定的Android版本等。大部分的记录中还包括用户的电话号码以及手机提供商的名称等,在某些情况下(如果连接到Wi-Fi),还包含用户的IP地址以及互联网提供商的名称。许多记录中还包含用户公开的Google个人资料的具体详情,其中包括用户电子邮件地址、出生日期、性别以及个人资料照片等。
除此之外,研究人员还发现了从一个用户手机上上传的几个联系人数据表格。一个表格列出了1070万个电子邮件地址,另一个表格包含3.746亿个电话号码。而关于该应用程序在用户手机上上传联系人的电子邮件地址和电话号码的原因尚不清楚。
其他一些表格中还包含了用户设备上安装的每个应用程序的列表,如银行应用程序和约会应用程序。
影响与反思
虚拟键盘能够广泛地访问某些最高级别的Android权限是非常常见的。Android会警告用户,该键盘“可能会收集您键入的所有文本,包括个人数据,如密码以及信用卡号码等”AI.type也不例外,其具有对联系人数据、文本消息、照片和视频的读访问权限,其他设备上存储(on-device storage)、录制音频的访问权限,以及完整的网络访问权限。
对此,AI.type在其网站上表示,用户的隐私“是我们的主要关注点”。该公司也表示,会对用户在键盘上输入的任何文字“保持加密和私密”。
但是现实却是一个没有加密保护的数据库。研究人员还发现证据表明,用户在键盘上输入的文字确实已经被该公司记录和存储,不过究竟是记录到什么程度暂时并不清楚。
该公司还承诺“永远不会分享你的数据”,但是研究人员却在一个表格中发现了包含860万条使用该虚拟键盘输入的文本信息,其中包括很多私人和敏感的信息,如电话号码、网络搜索条目,以及在某些情况下连接的电子邮件地址和相应的密码。
Kromtech安全中心通讯主管Bob Diachenko警告称,用户一定要警惕使用免费应用程序的危险性。他表示,
理论上说,任何已经在手机上下载并安装Ai.Type虚拟键盘的用户都会面临将其所有手机数据暴露在网上的威胁,这对网络犯罪分子而言是很好的机会,他们可以利用这些详细的信息针对用户进行金融欺诈活动。
Diachenko补充道,
现在有一个问题值得我们反醒,对于消费者而言,通过提交自己的数据来获取免费或打折的产品或服务(这些服务可以获得对设备的完全访问权)的行为是否真的值得!
很显然,因为数据本身的价值,每个人都希望以不同的理由来访问数据,有些人想要通过出售他们收集的数据获利,有些人想用这些数据进行针对性的市场营销,预测性的人工智能,而网络犯罪分子则想用它们以更多更有创意的方式获利。所以,数据安全的重要意义不言而喻,数据安全之路仍任重而道远!