Datenleck bei "AI.type" Tastatur-App spionierte Nutzer aus und ließ Daten ungeschützt
News folgenSicherheitsforscher schlagen wegen der beliebten Android-Tipphilfe "AI.type" Alarm: Der Hersteller hatte nicht nur sensible Kundeninformationen auf einem nicht passwortgeschützten Server abgespeichert – die Firma hatte offenbar auch mehr Daten mit geschnitten, als erlaubt war.
Sicherheitsforscher haben bei einer weltweit beliebten Tastatur-App für Android ein massives Datenleck aufgedeckt. Wie ZDNet am Dienstag berichtet, waren die sensiblen Daten von mehr als 31 Millionen Nutzern zeitweise öffentlich einsehbar. Auch Deutsche könnten von dem Datenleck betroffen sein, wie t-online.de von den Experten erfuhr.
Bei der App AI.type handelt es sich um eine personalisierte, virtuelle Bildschirm-Tastatur. Das Programm studiert das Tippverhalten der Nutzer und passt sich diesem an. Das soll den Tippvorgang zum Beispiel von Textnachrichten beschleunigen. Im Google Play Store wirbt die "intelligente" Smartphone-Tastatur mit "mehr als 40 Millionen Usern auf der ganzen Welt". Das Startup kommt aus Tel Aviv.
Doch offenbar war der Server, auf dem die Nutzerdaten gespeichert waren, nicht passwortgeschützt. So hätte jeder auf die 577 Gigabyte große Datenbank des Unternehmens Zugriff gehabt, berichtet ZDNet. AI.type-Mitgründer Eitan Fitusi habe seine Nachlässigkeit inzwischen zugegeben. Der AI.type-Server sei mittlerweile abgesichert worden.
Die Sicherheitslücke war zuerst von Kromtech Security Center bei einer Routine-Überprüfung entdeckt worden.
Auf Nachfrage von t-online.de teilte der Unternehmenssprecher Bob Diachenko mit, dass sich unter den sichergestellten Daten auch Informationen zu über einer halben Millionen Usern aus Deutschland befinden. Es gebe jedoch keine Anzeichen dafür, dass die ungeschützte Datenbank zuvor von irgendjemandem mit bösen Absichten entdeckt und abgerufen worden war.
AI.type sammelte extrem viele Informationen über seine Nutzer – und deren Kontakte
Einige Datensätze, die von ZDNet eingesehen werden konnten, enthielten neben den Namen und E-Mail-Adressen der Nutzer auch Angaben zum Wohnort. Andere Datensätze seien laut ZDNet sehr viel detaillierter. Sie enthielten etwa Geräte-Nummern, Angaben zum Modell, zur Bildschirmauflösung oder dem Betriebssystem. Die kostenlose Version der App sammelt solche Informationen, um passende Werbung einzublenden. In der Bezahlversion für 4,59 € werden solche Daten nicht erhoben.
Auch Telefonnummern, Anbieterinformationen, IP-Adressen oder Angaben aus den Sozialen Medien, wie Geburtsdatum oder Profilfoto seien teilweise in den Datensätzen enthalten.
Von dem Datenleck sind dem Bericht zufolge sogar Handynutzer betroffen, die die App gar nicht heruntergeladen haben: "Wir haben auch mehrere Tabellen gefunden mit Kontaktdaten, die von Nutzertelefonen hochgeladen wurden", schreibt ZDNet. Eine Tabelle liste 10,7 Millionen E-Mail Adressen, eine andere 374,6 Millionen Telefonnummern auf. Es sei unklar, warum die App die Kontaktdaten von den Handys seiner Nutzer ausgelesen und auf den Server hochgeladen habe.
Gegenüber der BBC stellte Gründer Fitusi die Darstellung als übertrieben dar. Bei der nicht passwortgeschützten Datenbank habe es sich um eine "sekundäre Datenbank" gehandelt, die nicht so viele Informationen beinhalte, wie von Kromtech behauptet. So seien keine Geräteinformationen erfasst oder genaue Standortdaten gespeichert worden. Die App habe lediglich erfasst, welche Werbeanzeigen die Nutzer klickten.
Nutzer haben der App ihre Zustimmung gegeben
Tatsächlich verlangt AI.type Zugriffsrechte auf das Telefonbuch der Nutzer. Das ist sowohl bei der kostenlosen, als auch bei der nicht-kostenlosen App-Version der Fall.
Es ist nicht unüblich, dass Tastatur-Apps umfangreiche Zugriffsrechte verlangen. Auch ist schon lange bekannt, dass sie möglicherweise alles mitlesen, was die Nutzer eingeben – auch Passwörter und Kontodaten. Android zeigt Nutzern, die sich eine solche App herunterladen wollen, einen entsprechenden Warnhinweis an.
AI.type leugnet zwar, Texteingaben aus Passwort-Feldern mitzuschneiden. Die Sicherheitsforscher fanden dennoch E-Mail Konten und korrespondierende Passwörter in den Datensätzen. Offenbar waren weitaus mehr Texteingaben aufgezeichnet und von dem Unternehmen gespeichert worden, als in den Nutzungsbedingungen angegeben. Auch dass alle Texteingaben verschlüsselt an den Server übergeben würden, stimmte nicht.
Worauf Nutzer immer achten sollten
Die App AI.type ist ein Extremfall, aber sicher ein Einzelfall. So hat die Anwendung offenbar auch automatisch ausgelesen, welche anderen Apps der Nutzer auf seinem Handy installiert hatte, etwa für Online-Banking oder Dating-Portale. Auch Textnachrichten liest die App mit.
Google hat heute angekündigt, dass Android-Anwender künftig gewarnt werden, wenn sie im Play Store Apps herunterladen wollen, die ihre Nutzer ausspionieren.
Der Fall zeigt einmal mehr, dass Nutzer vor allem bei kostenlosen Apps vorsichtig sein müssen. Diese finanzieren sich meist durch Werbung und sammeln dazu umfangreiche Daten über das Verhalten ihrer User.
Vor dem Installieren sollte man sich zudem immer sorgfältig durchlesen, welche Berechtigungen man der App erteilt. Denn mit dem Herunterladen der App stimmt man automatisch zu, dass diese Daten erhoben werden dürfen. Als Faustregel gilt: Verlangt der Anbieter Zugriff auf andere Anwendungen, die nichts mit der eigentlichen App-Funktion zu tun hat, ist Skepsis angebracht. Dann werden wahrscheinlich unnötig Daten gesammelt. So braucht eine Taschenlampen-App zum Beispiel garantiert keinen Zugriff auf das Telefonbuch des Nutzers, möglicherweise aber auf die Frontkamera, die als Helligkeitssensor dienen kann.
