{"id":198353,"date":"2017-12-06T09:42:00","date_gmt":"2017-12-06T08:42:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=198353"},"modified":"2020-12-24T01:33:52","modified_gmt":"2020-12-24T00:33:52","slug":"keyboard-app-ai-type-sammelt-daten-diese-sind-geleakt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/12\/06\/keyboard-app-ai-type-sammelt-daten-diese-sind-geleakt\/","title":{"rendered":"Keyboard-App ai.type sammelt Daten, diese sind geleakt"},"content":{"rendered":"

Datenschutz-GAU: Die popul\u00e4re Tastatur-App ai.type sammelt unter Android und iOS pers\u00f6nliche Daten der Nutzer. Und dann sichern die Betreiber den Server nicht ab, so dass diese pers\u00f6nlichen Daten von 31 Millionen Benutzern nun \u00f6ffentlich sind. <\/p>\n

<\/p>\n

\"\"Es ist mal wieder eine Geschichte, die zeigt, dass das App-Modell kaputt ist. Aber die Nutzer haben selbst schuld \u2013 da wird eine App vorgestellt, und alle st\u00fcrzen sich wie die Lemminge drauf. Keiner bedenkt, dass man sich damit quasi einen Trojaner auf das Android-Ger\u00e4t holt. <\/p>\n

ai.type Free Tastatur + Emoji<\/h2>\n

Sucht man nach dem Begriff ai.type Free Tastatur st\u00f6\u00dft man nicht nur bei Google Play Store<\/a>, sondern bei vielen deutschsprachigen Sites auf 'Empfehlungen' f\u00fcr die Android-Tastatur-App. Selbst bei heise.de habe ich diesen Artikel<\/a> gefunden. Die App ist dort sogar als kostenpflichtig angegeben. Bei heise.de liest man:<\/p>\n

\n

Die ai.type Plus Tastatur – App f\u00fcr Android<\/b> kommt mit einer Grammatikpr\u00fcfung, Wort-Vorhersage- und Auto-Korrektur daher. Die Tastatur-App umfasst verschiedene Themes und bietet weitere Benutzeranpassungen. Anstatt zu Tippen, kann man mit dem Finger f\u00fcr die Eingabe auch von Buchstabe zu Buchstaben gleiten und erg\u00e4nzend l\u00e4sst sich der Text diktieren.<\/p>\n<\/blockquote>\n

Und auf der Google Play Store-Seite liest man:<\/p>\n

\n

ai.type<\/b> ist die intelligenteste personalisierteste<\/b> Tastatur f\u00fcr Smartphones und Tablets. Mit weltweit mehr als 40 Millionen Nutzer revolutionieren wir das Messaging-Erlebnis.
Mit unserer App k\u00f6nnen Sie besser und schneller<\/b> tippen, indem es Ihren Schreibstil lernt. Sie k\u00f6nnen Ihre Tastatur nach Belieben anpassen<\/b> und personalisieren<\/b>.<\/p>\n<\/blockquote>\n

Ist nat\u00fcrlich klar, dass der hippe Android-Nutzer (und iOS-User) diese App braucht. Dass eine Tastatur bei Android oder iOS im Lieferumfang dazu geh\u00f6rt und dass jede Tastatur potentiell alles aufzeichnen kann, was der Nutzer so am Ger\u00e4t treibt \u2013 irgendwie geschenkt. Und da der Entwickler von ai.type zum Datenschutz folgendes schreibt: <\/p>\n

\n

Datenschutz<\/b> \u2013 Ihr Datenschutz ist uns wichtig. Wir geben nie Ihre Daten frei oder erfassen Ihre Passw\u00f6rter. Texte bleiben verschl\u00fcsselt und privat.<\/p>\n<\/blockquote>\n

gibt einem nat\u00fcrlich ein gutes Gef\u00fchl. Auf der Entwicklerseite<\/a> erf\u00e4hrt man, dass die Firma 2010 gegr\u00fcndet wurde \u2013 die Entwickler sitzen laut Google in Houston in den USA \u2013 die Firma wurde aber von Israelis gegr\u00fcndet. <\/p>\n

Kromtech Security st\u00f6\u00dft auf die Daten<\/h2>\n<\/p>\n

Das Kromtech Security Center hat diesen Fall aufgedeckt und in diesem Blog-Beitrag<\/a> ver\u00f6ffentlicht. Bei Recherchen im Web hat man eine riesige Menge an Kundendateien entdeckt, die \u00f6ffentlich zug\u00e4nglich sind. Die Forscher konnten auf die Daten und Details von 31.293.959 Nutzern zugreifen. Ursache war eine fehlkonfigurierte MongoDB-Datenbank, die nicht durch ein Kennwort vor unberechtigten Zugriffen gesichert war.  <\/p>\n

Die falsch konfigurierte MongoDB-Datenbank scheint, so schreiben die Forscher, zu Ai.Type zu geh\u00f6ren, einem Tel Aviv-basierten Startup<\/u>, das eine personalisierte Tastatur f\u00fcr Mobiltelefone und Tablets f\u00fcr Android- und iOS-Ger\u00e4te entwirft und entwickelt. Die Android-App hat wohl 40 Millionen Downloads. Das Unternehmen plant, sogenannte Matching Bots zu integrieren. Wenn ein Benutzer seine Konversation eintippt, kann der Bot auf der Tastatur Vorschl\u00e4ge unterbreiten. <\/p>\n

Schock: Die App sammelt alles<\/h2>\n

Als die Sicherheitsforscher die App Ai.Type installierten, waren sie schockiert, als sie feststellten, dass die Benutzer \"Full Access\" f\u00fcr alle ihre auf dem iPhone gespeicherten Daten, einschlie\u00dflich aller Tastaturdaten, die in der Vergangenheit und Gegenwart gespeichert waren, zulassen m\u00fcssen. Es wirft die Frage auf, warum sollte eine Tastatur und Emoji-Anwendung die gesamten Daten des Telefons oder Tabletts des Benutzers erfassen m\u00fcssen? <\/p>\n

Basierend auf der durchgesickerten Datenbank scheinen die Macher von Ai.Type alles zu sammeln, was sie auf den Ger\u00e4ten kriegen k\u00f6nnen, von Kontakten bis hin zu Tastenanschl\u00e4gen. Dies ist eine schockierende Menge an Informationen \u00fcber ihre Benutzer, die davon ausgehen, dass sie eine einfache Tastaturanwendung erhalten.  <\/p>\n

Das Leak \u2013 Einblick in die Datensammlung<\/h2>\n

Die Kromtech Security-Forscher schreiben, dass Ai.Type versehentlich ihre gesamte Mongo-Datenbank mit 577 GB Daten f\u00fcr jeden mit einer Internetverbindung zug\u00e4nglich gemacht habe. Als die Forscher auf die Datenbank stie\u00dfen, wurde deutlich, auf wie viele Daten die Leute von Ai.Type zugreifen. Es ist quasi eine Fundgrube an Daten, von denen durchschnittliche Benutzer nicht erwarten, dass sie von ihrem Handy oder Tablett extrahiert oder erfasst werden. Hier die Liste der Grausamkeiten, was in der Datenbank steckt:<\/p>\n