Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.703.355 Produkten

Dennis Schirrmacher 311

Daten von 31 Millionen Nutzern der App ai.type Keyboard geleakt

Daten von 31 Millionen Nutzern der App ai.type Keyboard geleakt

Bild: Facepalm, Brandon Grasley, CC BY 2.0

In dem riesigen Datenleak stehen unter anderen E-Mail-Adressen, Namen und IMEI- und Telefon-Nummern von Nutzern der App. Auch Kontakte aus Telefonbüchern sollen sich darin finden.

Der Entwickler der Keyboard-App ai.type hat eine 577 GByte umfassende MongoDB-Datenbank nicht abgesichert, sodass jeder darauf zugreifen konnte. Darin stehen unter anderem persönliche Daten von 31.293.959 Nutzern, welche sich die für Android- und iOS-Geräte verfügbare App ai.type Keyboard installiert haben. Darauf sind Sicherheitsforscher von MacKeeper gestoßen.

Anzeige

Die App ist weit verbreitet – Google Play weist rund 40 Millionen Downloads auf. Mittlerweile soll die Datenbank abgesichert sein. Unklar ist, wer vor der Absicherung darauf zugegriffen hat. Eine offene, von persönlichen Infos überlaufende Datenbank ist ein gefundenes Fressen für Kriminelle.

Vor dem Datenleak kommt das Versprechen "Wir werden niemals persönliche Informatonen nutzen" einer Irreführung gleich.
Vor dem Datenleak wirkt das Versprechen "Wir werden niemals persönliche Informatonen nutzen" wie eine Irreführung. (Bild: Screenshot)

Installiert man die App etwa auf einem iPhone, fordert sie vollen Zugriff auf das Gerät ein. Mit den Rechten ausgestattet kann sie zum Beispiel alle Keyboard-Eingaben mitschneiden – auch aus der Vergangenheit. Zudem kann die App in dieser Position so ziemlich alles auslesen, was auf einem Gerät liegt, warnen die Sicherheitsforscher. Wer die App nutzt, sollte sie aufgrund der heftigen Datensammelei schleunigst deinstallieren.

In der Datenbank finden sich MacKeeper zufolge umfangreiche persönliche Daten wie Namen, Informationen aus Social-Media-Profilen, Kontaktdaten aus Adressbüchern, IMSI-, IMEI- und Telefonnummern, Standorte, E-Mail-Adressen und noch viele weitere Infos. Die Sicherheitsforscher geben zudem an, dass in dem Leak 373 Millionen Einträge liegen, die Einträge aus mit Google-Accounts synchronisierten Adressbüchern enthalten.

Ein Statement der Entwickler steht derzeit noch aus. Auf der Webseite finden sich nur Werbesprüche, dass die Privatsphäre von Nutzern an erster Stelle steht. Zudem soll über die Tastatur eingegebener Text verschlüsselt sein – was bei der Datenbank offensichtlich nicht der Fall war.

Die Aussage "Wir werden niemals persönliche Informatonen nutzen" aus dem Tutorial zur App kommt einer Verhöhnung gleich.

Offene MongoDB-Datenbanken sorgen immer wieder für Schlagzeilen. 2016 sind so etwa Infos von 93 Millionen mexikanischen Wählern und 58 Millionen Einträgen aus der Automobilbranche und Personalvermittlung geleakt.

Anzeige

Wer es drauf anlegt, kann offene MongoDB-Datenbanken mit vergleichsweise wenig Aufwand über die Suchmaschine Shodan finden. Das Problem ist, dass viele Admins noch alte, zum Teil verwundbare Versionen der Datenbank verwenden. Diese sind in der Standardkonfiguration für jedermann über das Internet erreichbar. Admins sollten also sicherstellen, dass sie die aktuelle Version der MongoDB-Datenbank installiert haben.

Zusätzlich sollten sie auch die Sicherheitstipps der Entwickler befolgen, denn oft kommen unsichere Konfigurationen zum Einsatz, bei denen etwa der Port 27017 Verbindungen aus dem Internet zulässt. (des)

311 Kommentare

Themen:

Anzeige
  1. Eindringling nimmt offenbar MongoDB-Datenbanken als Geisel

    Eindringling nimmt MongoDB-Datenbanken als Geisel

    Ein unbekannter Angreifer soll ungeschützte MongoDB-Datenbanken leeren und den Eigentümern eine Erpresser-Botschaft hinterlassen.

  2. Anzahl entführter MongoDB-Datenbanken steigt rasant

    Anzahl entführter MongoDB-Datenbanken steigt rasant

    Sicherheitsforscher warnen, dass mittlerweile verschiedene Erpressergruppen in größerem Stil offene MongoDB-Datenbanken kapern und Lösegeld verlangen.

  3. Hacker-Angriffe auf MongoDB treffen fast 27.000 Datenbanken

    Hacker-Angriff

    Erpresserische Angriffe auf sicherheitsanfällige MongoDB-Datenbanken liegen bei Online-Kriminellen bereits seit Ende letzten Jahres im Trend. Nun geht die Abzocke weiter: Drei neue Hackergruppen fordern Bitcoins im Tausch gegen Datenbankinhalte.

  4. Android-App Go Keyboard soll Nutzer ausspionieren

    Android-App Go Keyboard spioniert Nutzer aus

    Sicherheitsforschern zufolge schneidet die weit verbreitete App Go Keyboard heimlich verschiedene Nutzerdaten mit und sendet diese an Server des Anbieters. Außerdem soll die App ohne Erlaubnis des Nutzers Code herunterladen und ausführen können.

  1. Whatsapp auf PC und Tablet, Backup und Alternativen

    WhatsApp

    WhatsApp informiert sehr ausführlich über seine Dienste, doch manche Fragen bleiben offen – zum Teil mit Absicht. Wir beantworten die häufigsten Fragen, unter anderem zur Nutzung auf dem PC und Tablet, sowie zu Backups, Preisen und Alternativen.

  2. Virenscanner für Android - brauche ich das?

    Immer wieder liest man von Android-Viren, die Smartphones und Tablets befallen. Wir verraten Ihnen, ob Sie einen Virenscanner für Android brauchen.

  3. Unter Beobachtung

    Von einem, der auszog der Massenüberwachung zu entgehen - und das Fürchten lernte. Ein Erfahrungsbericht

  1. Wenn Rom ruckelt: Age of Empires Definitive Edition mit technischen Unzulänglichkeiten für 20 Euro

    Age of Empires Definitive Edition: Technische Unzulänglichkeiten für 20 Euro

    Microsoft hat Age of Empires generalüberholt und verkauft das Spiel nun für 20 Euro als Definitive Edition. Die neue Ausgabe ist im Vergleich zum Original hübscher, technisch allerdings miserabel umgesetzt.

  2. KI-Forschung und erste Anwendungsschrittchen: Roboter Josie hilft Passagieren am Flughafen

    Roboter Josie hilft Passagieren am Flughafen

    Wann geht mein Flug? Wie finde ich das richtige Gate? Und wo bekomme ich einen Kaffee? Klassische Fragen von Reisenden am Flughafen. In München beantwortet sie seit kurzem eine neue "Mitarbeiterin", die auch schon mal Luftgitarre spielt.

  3. Demnächst für Android und iOS: Googles Bildanalyse Lens erkennt Pflanzen, Tiere und mehr

    Google-Bilderkennung Lens für alle Android-Smartphone und sogar iOS

    Googles leistungsfähiges Foto-Analyse-Tool Lens funktionierte bislang nur mit Pixel-Smartphones. Nun will Google alle Android- und sogar iOS-Telefone damit ausstatten: Lens wird Bestandteil der "Fotos"- und "Assistant"-Apps.

  4. Wochenrückblick Replay: macOS-Umstieg, brutales Tracking, Bitcoin-Beutezug

    Wochenrückblich Replay: macOS-Umstieg, brutales Tracking, Bitcoin-Beutezug

    Heise feiert die hunderstste Folge seiner Show und foltert sich selbst. Außerdem dabei: Knöllchen vom Smartphone, ein Leak von Samsung S9 und hartnäckige Tracker.

Anzeige