Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Dennis Schirrmacher 306

Daten von 31 Millionen Nutzern der App ai.type Keyboard geleakt

Daten von 31 Millionen Nutzern der App ai.type Keyboard geleakt

Bild: Facepalm, Brandon Grasley, CC BY 2.0

In dem riesigen Datenleak stehen unter anderen E-Mail-Adressen, Namen und IMEI- und Telefon-Nummern von Nutzern der App. Auch Kontakte aus Telefonbüchern sollen sich darin finden.

Der Entwickler der Keyboard-App ai.type hat eine 577 GByte umfassende MongoDB-Datenbank nicht abgesichert, sodass jeder darauf zugreifen konnte. Darin stehen unter anderem persönliche Daten von 31.293.959 Nutzern, welche sich die für Android- und iOS-Geräte verfügbare App ai.type Keyboard installiert haben. Darauf sind Sicherheitsforscher von MacKeeper gestoßen.

Anzeige

Die App ist weit verbreitet – Google Play weist rund 40 Millionen Downloads auf. Mittlerweile soll die Datenbank abgesichert sein. Unklar ist, wer vor der Absicherung darauf zugegriffen hat. Eine offene, von persönlichen Infos überlaufende Datenbank ist ein gefundenes Fressen für Kriminelle.

Vor dem Datenleak kommt das Versprechen "Wir werden niemals persönliche Informatonen nutzen" einer Irreführung gleich.
Vor dem Datenleak wirkt das Versprechen "Wir werden niemals persönliche Informatonen nutzen" wie eine Irreführung. (Bild: Screenshot)

Installiert man die App etwa auf einem iPhone, fordert sie vollen Zugriff auf das Gerät ein. Mit den Rechten ausgestattet kann sie zum Beispiel alle Keyboard-Eingaben mitschneiden – auch aus der Vergangenheit. Zudem kann die App in dieser Position so ziemlich alles auslesen, was auf einem Gerät liegt, warnen die Sicherheitsforscher. Wer die App nutzt, sollte sie aufgrund der heftigen Datensammelei schleunigst deinstallieren.

In der Datenbank finden sich MacKeeper zufolge umfangreiche persönliche Daten wie Namen, Informationen aus Social-Media-Profilen, Kontaktdaten aus Adressbüchern, IMSI-, IMEI- und Telefonnummern, Standorte, E-Mail-Adressen und noch viele weitere Infos. Die Sicherheitsforscher geben zudem an, dass in dem Leak 373 Millionen Einträge liegen, die Einträge aus mit Google-Accounts synchronisierten Adressbüchern enthalten.

Ein Statement der Entwickler steht derzeit noch aus. Auf der Webseite finden sich nur Werbesprüche, dass die Privatsphäre von Nutzern an erster Stelle steht. Zudem soll über die Tastatur eingegebener Text verschlüsselt sein – was bei der Datenbank offensichtlich nicht der Fall war.

Die Aussage "Wir werden niemals persönliche Informatonen nutzen" aus dem Tutorial zur App kommt einer Verhöhnung gleich.

Offene MongoDB-Datenbanken sorgen immer wieder für Schlagzeilen. 2016 sind so etwa Infos von 93 Millionen mexikanischen Wählern und 58 Millionen Einträgen aus der Automobilbranche und Personalvermittlung geleakt.

Anzeige

Wer es drauf anlegt, kann offene MongoDB-Datenbanken mit vergleichsweise wenig Aufwand über die Suchmaschine Shodan finden. Das Problem ist, dass viele Admins noch alte, zum Teil verwundbare Versionen der Datenbank verwenden. Diese sind in der Standardkonfiguration für jedermann über das Internet erreichbar. Admins sollten also sicherstellen, dass sie die aktuelle Version der MongoDB-Datenbank installiert haben.

Zusätzlich sollten sie auch die Sicherheitstipps der Entwickler befolgen, denn oft kommen unsichere Konfigurationen zum Einsatz, bei denen etwa der Port 27017 Verbindungen aus dem Internet zulässt. (des)

306 Kommentare

Themen:

Anzeige
  1. Eindringling nimmt offenbar MongoDB-Datenbanken als Geisel

    Eindringling nimmt MongoDB-Datenbanken als Geisel

    Ein unbekannter Angreifer soll ungeschützte MongoDB-Datenbanken leeren und den Eigentümern eine Erpresser-Botschaft hinterlassen.

  2. Anzahl entführter MongoDB-Datenbanken steigt rasant

    Anzahl entführter MongoDB-Datenbanken steigt rasant

    Sicherheitsforscher warnen, dass mittlerweile verschiedene Erpressergruppen in größerem Stil offene MongoDB-Datenbanken kapern und Lösegeld verlangen.

  3. Hacker-Angriffe auf MongoDB treffen fast 27.000 Datenbanken

    Hacker-Angriff

    Erpresserische Angriffe auf sicherheitsanfällige MongoDB-Datenbanken liegen bei Online-Kriminellen bereits seit Ende letzten Jahres im Trend. Nun geht die Abzocke weiter: Drei neue Hackergruppen fordern Bitcoins im Tausch gegen Datenbankinhalte.

  4. Android-App Go Keyboard soll Nutzer ausspionieren

    Android-App Go Keyboard spioniert Nutzer aus

    Sicherheitsforschern zufolge schneidet die weit verbreitete App Go Keyboard heimlich verschiedene Nutzerdaten mit und sendet diese an Server des Anbieters. Außerdem soll die App ohne Erlaubnis des Nutzers Code herunterladen und ausführen können.

  1. Whatsapp auf PC und Tablet, Backup und Alternativen

    WhatsApp

    WhatsApp informiert sehr ausführlich über seine Dienste, doch manche Fragen bleiben offen – zum Teil mit Absicht. Wir beantworten die häufigsten Fragen, unter anderem zur Nutzung auf dem PC und Tablet, sowie zu Backups, Preisen und Alternativen.

  2. Brauche ich einen Virenscanner für mein Android-Smartphone?

    Immer wieder liest man von Android-Viren, die Smartphones und Tablets befallen. Wir verraten dir, ob du einen Virenscanner für Android brauchst.

  3. Unter Beobachtung

    Von einem, der auszog der Massenüberwachung zu entgehen - und das Fürchten lernte. Ein Erfahrungsbericht

  1. Google veröffentlicht 3 Fotos-Apps: Storyboard, Selfissimo und Scrubbies

    Google veröffentlicht Fotos-Apps: Storyboard, Selfissimo und Scrubbies

    Google hat drei experimentelle Fotos-Apps für Android und iOS veröffentlicht. Die "Appsperiments" nutzen Techniken, an denen Google derzeit forscht. Bei allen Apps steht der Spaß im Vordergrund.

  2. Q#: Microsofts Development Kit für Quantencomputing mit eigener Programmiersprache und Simulator

    Q#: Microsoft stellt Preview seines Development Kit für Quantencomputing vor

    Mit der neuen, in Visual Studio integrierten Programmiersprache Q# will Microsoft Entwicklern die Programmierung von Quantencomputern vereinfachen. Die Preview des Quantum Development Kit steht ab sofort zur Verfügung.

  3. Im Test: Honda Civic 1.0 VTEC Turbo CVT

    Honda Civic 1.0 VTEC Turbo CVT

    Seit ein paar Monaten gibt es die zehnte Generation des Honda Civic auch hierzulande. Ein Test mit dem Basismodell zeigt, dass Honda der eigenwilligen Gestaltung der beiden Vorgänger weitgehend treu geblieben ist. Doch an mindestens einem Punkt muss nachgebessert werden

  4. Diversifikation: Aston Martin Project Neptune & Valkyrie

    Aston Martin designt ein U-Boot von Triton. Die technische Basis heißt 1650/3 LP und soll bis zu 500 Meter tief tauchen können. Inspiriert hat die Gestalter der Aston Martin Valkyrie, ein in seiner Gestaltung eigenwilliges Hypercar mit 1000 PS aus einem V12-Mittelmotor

Anzeige