Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit >

Großes Datenleck: Tastatur-App "AI.Type" speicherte Daten ungeschützt

...
t-online.de ist ein Angebot der Ströer Content Group

Datenleck bei "AI.type"  

Tastatur-App spionierte Nutzer aus und ließ Daten ungeschützt

06.12.2017, 19:55 Uhr | str, t-online.de

Großes Datenleck: Tastatur-App "AI.Type" speicherte Daten ungeschützt. Ein Mann schreibt eine Textnachricht.  (Quelle: imago/Westend61)

Textnachrichten verfassen sollte mit AI.type schneller gehen. (Quelle: Westend61/imago)

Sicherheitsforscher schlagen wegen der beliebten Android-Tipphilfe "AI.type" Alarm: Der Hersteller hatte nicht nur sensible Kundeninformationen auf einem nicht passwortgeschützten Server abgespeichert – die Firma hatte offenbar auch mehr Daten mit geschnitten, als erlaubt war. 

Sicherheitsforscher haben bei einer weltweit beliebten Tastatur-App für Android ein massives Datenleck aufgedeckt. Wie ZDNet am Dienstag berichtet, waren die sensiblen Daten von mehr als 31 Millionen Nutzern zeitweise öffentlich einsehbar. Auch Deutsche könnten von dem Datenleck betroffen sein, wie t-online.de von den Experten erfuhr. 

Bei der App AI.type handelt es sich um eine personalisierte, virtuelle Bildschirm-Tastatur. Das Programm studiert das Tippverhalten der Nutzer und passt sich diesem an. Das soll den Tippvorgang zum Beispiel von Textnachrichten beschleunigen. Im Google Play Store wirbt die "intelligente" Smartphone-Tastatur mit "mehr als 40 Millionen Usern auf der ganzen Welt". Das Startup kommt aus Tel Aviv. 

Doch offenbar war der Server, auf dem die Nutzerdaten gespeichert waren, nicht passwortgeschützt. So hätte jeder auf die 577 Gigabyte große Datenbank des Unternehmens Zugriff gehabt, berichtet ZDNet. AI.type-Mitgründer Eitan Fitusi habe seine Nachlässigkeit inzwischen zugegeben. Der AI.type-Server sei mittlerweile abgesichert worden.

Die Sicherheitslücke war zuerst von Kromtech Security Center bei einer Routine-Überprüfung entdeckt worden. 

Auf Nachfrage von t-online.de teilte der Unternehmenssprecher Bob Diachenko mit, dass sich unter den sichergestellten Daten auch Informationen zu über einer halben Millionen Usern aus Deutschland befinden. Es gebe jedoch keine Anzeichen dafür, dass die ungeschützte Datenbank zuvor von irgendjemandem mit bösen Absichten entdeckt und abgerufen worden war. 

AI.type sammelte extrem viele Informationen über seine Nutzer – und deren Kontakte

Einige Datensätze, die von ZDNet eingesehen werden konnten, enthielten neben den Namen und E-Mail-Adressen der Nutzer auch Angaben zum Wohnort. Andere Datensätze seien laut ZDNet sehr viel detaillierter. Sie enthielten etwa Geräte-Nummern, Angaben zum Modell, zur Bildschirmauflösung oder dem Betriebssystem. Die kostenlose Version der App sammelt solche Informationen, um passende Werbung einzublenden. In der Bezahlversion für 4,59 € werden solche Daten nicht erhoben. 

Auch Telefonnummern, Anbieterinformationen, IP-Adressen oder Angaben aus den Sozialen Medien, wie Geburtsdatum oder Profilfoto seien teilweise in den Datensätzen enthalten. 

Von dem Datenleck sind dem Bericht zufolge sogar Handynutzer betroffen, die die App gar nicht heruntergeladen haben: "Wir haben auch mehrere Tabellen gefunden mit Kontaktdaten, die von Nutzertelefonen hochgeladen wurden", schreibt ZDNet. Eine Tabelle liste 10,7 Millionen E-Mail Adressen, eine andere 374,6 Millionen Telefonnummern auf. Es sei unklar, warum die App die Kontaktdaten von den Handys seiner Nutzer ausgelesen und auf den Server hochgeladen habe.

Gegenüber der BBC stellte Gründer Fitusi die Darstellung als übertrieben dar. Bei der nicht passwortgeschützten Datenbank habe es sich um eine "sekundäre Datenbank" gehandelt, die nicht so viele Informationen beinhalte, wie von Kromtech behauptet. So seien keine Geräteinformationen erfasst oder genaue Standortdaten gespeichert worden. Die App habe lediglich erfasst, welche Werbeanzeigen die Nutzer klickten. 

Nutzer haben der App ihre Zustimmung gegeben

Tatsächlich verlangt AI.type Zugriffsrechte auf das Telefonbuch der Nutzer. Das ist sowohl bei der kostenlosen, als auch bei der nicht-kostenlosen App-Version der Fall. 

Es ist nicht unüblich, dass Tastatur-Apps umfangreiche Zugriffsrechte verlangen. Auch ist schon lange bekannt, dass sie möglicherweise alles mitlesen, was die Nutzer eingeben – auch Passwörter und Kontodaten. Android zeigt Nutzern, die sich eine solche App herunterladen wollen, einen entsprechenden Warnhinweis an. 

AI.type leugnet zwar, Texteingaben aus Passwort-Feldern mitzuschneiden. Die Sicherheitsforscher fanden dennoch E-Mail Konten und korrespondierende Passwörter in den Datensätzen. Offenbar waren weitaus mehr Texteingaben aufgezeichnet und von dem Unternehmen gespeichert worden, als in den Nutzungsbedingungen angegeben. Auch dass alle Texteingaben verschlüsselt an den Server übergeben würden, stimmte nicht.

Worauf Nutzer immer achten sollten

Die App AI.type ist ein Extremfall, aber sicher ein Einzelfall. So hat die Anwendung offenbar auch automatisch ausgelesen, welche anderen Apps der Nutzer auf seinem Handy installiert hatte, etwa für Online-Banking oder Dating-Portale. Auch Textnachrichten liest die App mit.  

Google hat heute angekündigt, dass Android-Anwender künftig gewarnt werden, wenn sie im Play Store Apps herunterladen wollen, die ihre Nutzer ausspionieren

Der Fall zeigt einmal mehr, dass Nutzer vor allem bei kostenlosen Apps vorsichtig sein müssen. Diese finanzieren sich meist durch Werbung und sammeln dazu umfangreiche Daten über das Verhalten ihrer User. 

Vor dem Installieren sollte man sich zudem immer sorgfältig durchlesen, welche Berechtigungen man der App erteilt. Denn mit dem Herunterladen der App stimmt man automatisch zu, dass diese Daten erhoben werden dürfen. Als Faustregel gilt: Verlangt der Anbieter Zugriff auf andere Anwendungen, die nichts mit der eigentlichen App-Funktion zu tun hat, ist Skepsis angebracht. Dann werden wahrscheinlich unnötig Daten gesammelt. So braucht eine Taschenlampen-App zum Beispiel garantiert keinen Zugriff auf das Telefonbuch des Nutzers, möglicherweise aber auf die Frontkamera, die als Helligkeitssensor dienen kann. 

Liebe Leser, bitte melden Sie sich an, um diesen Artikel kommentieren zu können. Mehr Informationen.
Neue Kommentare laden
Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre E-Mail-Adresse an. Vielen Dank für Ihre Mitteilung.

Name
E-Mail
Betreff
Nachricht
Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail

Shopping
Diese Jacken bringen Sie warm durch den Winter
Trend-Jacken von TOM TAILOR
Shopping
Allnet Flat Plus mit Samsung Galaxy S8 im besten D-Netz
zu congstar.de
Klingelbonprix.detchibo.deCECILStreet OneLIDLBabistadouglas.deBAUR
Mehr zum Thema
Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit

shopping-portal
Das Unternehmen
  • Ströer Digital Publishing GmbH
  • Unternehmen
  • Jobs & Karriere
  • Presse
Weiteres
Netzwerk & Partner
  • Stayfriends
  • Erotik
  • Routenplaner
  • Horoskope
  • billiger.de
  • t-online.de Browser
  • Das Örtliche
  • DasTelefonbuch
  • Erotic Lounge
Telekom Tarife
  • DSL
  • Telefonieren
  • Entertain
  • Mobilfunk-Tarife
  • Datentarife
  • Prepaid-Tarife
  • Magenta EINS
Telekom Produkte
  • Kundencenter
  • Magenta SmartHome
  • Telekom Sport
  • Freemail
  • Telekom Mail
  • Sicherheitspaket
  • Vertragsverlängerung Festnetz
  • Vertragsverlängerung Mobilfunk
  • Hilfe
© Ströer Digital Publishing GmbH 2017