Aplicativo de teclado AI.type vaza 31 milhões de dados pessoais de usuários

Os teclados de terceiros são realmente populares no Android, e há um bom motivo. Eles não apenas tendem a oferecer mais recursos sobre o envio de teclado de estoque na maioria dos smartphones, mas, em alguns casos, fornecem uma melhor tecnologia de correção e previsão automática do que as alternativas originais. Mas alguns teclados de terceiros coletam dados pessoais para melhorar seus recursos, o que os torna um alvo atraente para os invasores. Caso em questão: o popular teclado Android AI.type vazou os dados pessoais de mais de 31 milhões de usuários porque supostamente não protegeu um de seus bancos de dados online com uma senha.

O AI.type tem muitos seguidores na Play Store. Somente a versão gratuita do aplicativo conseguiu acumular entre 10.000.000 a 50.000.000 instalações e manteve uma classificação média respeitável de 4, 2 estrelas. Mas, como descobriram recentemente os pesquisadores de segurança do Kromtech Security Center, o AI.type não protege adequadamente seus bancos de dados.

No decorrer de uma investigação de uma semana, o Kromtech Security Center descobriu que um banco de dados do MongoDB configurado incorretamente permitia o acesso a dados de quase 31 milhões de usuários. Ele totalizava mais de 577 gigabytes de tamanho e continha informações, incluindo nomes completos dos usuários, uma lista de aplicativos instalados no telefone, endereços de email, localização precisa (incluindo cidade e país) e quantos dias os usuários instalaram o aplicativo.

Curiosamente, verificou-se que a versão gratuita do AI.type coletou mais dados do que a versão paga. Mais especificamente, ele coletou números IMSI e IMEI do dispositivo, marcas e modelos de dispositivos, resoluções de tela do telefone, números de telefone, nomes de provedores de telefones celulares, endereços IP, provedores de Internet e números de versão do Android.

Os pesquisadores tentaram entrar em contato com a empresa por trás do AI.type em várias ocasiões, mas não foi até o fim de semana passado que eles finalmente o reconheceram. O AI.type diz que agora protegeu o banco de dados e que o vazamento não afetou os nove milhões de usuários de iOS do AI.type.


Fonte: Centro de Segurança Kromtech