1
時尚的網絡用語以及多變的皮膚,第三方輸入法往往成為替代手機自帶輸入法的最佳選擇。
但如果這些虛擬鍵盤會泄露你的數據……
最近,據外媒報道,第三方鍵盤應用 AI.type 因儲存信息的服務器未加密保護而泄露了超過 3100 萬用戶的個人數據。而儲存在服務器上超過 577 GB 的用戶敏感數據,包括用戶的完整名字、電子郵件地址,以及應用安裝的時長,甚至每條記錄還包括用戶的精確位置,如城市和國家。
總部位于以色列特拉維夫的 AI.Type 宣稱全球擁有超過 4000 萬的用戶量。而最先發現其數據庫未加密的 Kromtech 安全中心的安全研究人員卻質疑其收集用戶信息與該虛擬鍵盤功能無關。
畢竟在研究人員安裝 Ai.Type 時發現,用戶必須允許其“完全訪問”存儲在測試 iPhone 上的所有數據,甚至包括曾經的鍵盤數據。
你以為這就結束了嗎?
當然沒有,研究人員還在其中某個泄露的數據庫中發現了 3.746 億個手機號碼及 1070 萬個電子郵箱地址,以及針對不同地區用戶 Google 查詢的平均信息量、信息字數、用戶年齡等數據的統計表格。
一個第三方輸入程序為什么需要收集用戶手機或平板電腦的全部數據呢?
除此之外,AI.type 分為付費版本與免費版本,而根據其隱私政策,其免費版本收集的用戶信息更為詳細,包括設備的 MSI 和 IMEI,型號,屏幕分辨率和 Android 版本,甚至還有手機號碼、服務商、IP 地址,用戶公開的 Google 賬號信息,用戶在設備上安裝的應用列表等。而這些數據一般被該公司用于廣告盈利。
稍顯奇怪的是,研究人員發現 AI.type 數據庫中似乎只出現了 Android 用戶的個人信息,也就是說 iOS 用戶信息未被泄露。
移動安全愛好者無名俠告訴雷鋒網,這與 iOS 系統本身防御無關,主要由于 App store 隱私政策禁止一切應用收集用戶的個人信息(如電子郵件、序列號等),即 Ai.type 可能并沒有收集 iOS 用戶的數據,所以不存在 iOS用戶信息泄露。另外,這次信息泄露的源頭是服務器,ai.type 由于未對服務器的數據進行加密才導致大量泄露,如果服務端存在 iOS 用戶的數據,也難以躲過這一場浩劫。
目前 AI.type 的聯合創始人 Eitan Fitusi 稱公司已經對數據庫進行了加固操作,但他沒有就此事發表評論。
盡管作為英文輸入法的 Ai.type 并不會對國內大量用戶產生影響,但也引發了圍觀群眾對國內第三方輸入法應用的擔憂,畢竟這些輸入法無時無刻都在上傳用戶的個人信息。無名俠也在此建議用戶禁止輸入應用的網絡訪問。
未對數據庫加密的第三方輸入法遠不止 Ai.type,如此大規模的用戶數據泄露的確為廠商敲響了警鐘。值得思考的是,如何保證虛擬鍵盤應用數據庫的數據安全?
無名俠告訴雷鋒網,目前,Android 應用都會使用 Android 提供的 Sqlite 數據庫。Sqlite 數據庫本身支持加密,加密的 Sqlite 數據庫將不能被直接訪問。Sqlite 數據庫是存放在用戶手機本地的,但即使有加密,也可以通過逆向分析和動態調試等手段獲得數據庫密碼。
當然,這很大程度上取決了系統的安全性,Android 系統在非 root 情況下,應用之間的數據庫是不能互相訪問,這一定程度上保護了 APP 私有數據的安全性。如果 Android 系統被 Root,那么其它惡意程序就能很容易得訪問到正常程序的數據庫。所以建議 Android 用戶盡量不要 root,iOS 用戶盡量不要越獄。
無名俠也建議廠商對本地數據庫設置密碼并對存儲的數據進行二次加密,數據通信采用 HTTPS 協議并對服務器證書進行校驗,數據包一律添加簽名字段,盡可能保證服務端收到數據的真實性。
(打完這篇文章,雷鋒網編輯默默卸載了剛換了皮膚的輸入法……)
文章參考自hackread
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
