聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
在数字化时代,有一句话非常流行:如果你不付费,那么你就不是消费者,而是产品。
多数用户并不知道在智能手机上下载app会导致多少个人信息遭收集。相信我,收集的数据比你想象的要多得多。如今很多app开发人员的行为都是不负责任的,能说明这个问题的最佳例子就是流行虚拟键盘app泄露用户个人数据的事件。
无密码保护,任何人可下载3100万用户详情
这款虚拟键盘 app 即 Ai.type,Kromtech 安全中心的研究人员发现这款app不慎将3100万用户的个人数据暴露在网上。无需密码,任何人均可下载这些数据。
Ai.type 成立于2010年,是一款针对移动手机和平板的可自定义化和可个人化的虚拟键盘,它的用户数量超过4000万且遍布全球。
这家位于以色列特拉维夫的创业公司Ai.type所拥有的一个 MongoDB 数据库配置错误,导致大小为577 GB 的数据库全部暴露在网上,其中包含的用户敏感详情数量令人吃惊,而这些详情并非app运行所需要的信息,“他们似乎在收集用户的所有信息,从通讯录到击键不一而足”。
收集的个人数据极其详细
这份包含3100多万用户的被泄数据库内容包括:
姓名全名、电话号码和邮件地址
设备名称、屏幕分辨率和机型详情
安卓版本、IMSI号码和IMEI号码
移动网络名称、居住地所在国、甚至包括用户启用的语言
IP地址(如有)以及 GPS 位置(经纬度)
跟社交媒体资料相关的链接和信息,包括出生日期、邮件、照片等
研究人员指出,“当安装Ai.Type时发现用户必须允许该app对所存储在测试机iPhone上的所有数据拥有‘完全访问权限’,包括过去和现在的所有键盘数据。”这让研究人员非常惊讶。
另外,被泄数据库还窃取用户的通讯录,包括联系人的姓名和电话号码,而且已经搜刮了3.73亿份记录!
研究人员表示,数据库还收集很多其它数据,比如不同地区最流行的用户谷歌查询数据、每天的平均信息量、每条信息的字数、用户年龄、words_per_day': 0.0、'word_per_session 等等。为何一款键盘、表情应用需要收集如此多的个人数据?
安全意识是最佳防御措施
即使是最近爆发的多起数据泄露事件也教会我们认清一个事实:如果自己的个人数据落入网络犯罪分子之手,那么我们易受攻击的期限是永远。因此,自我保护的最佳防御措施一直都是:具备安全意识。
关联阅读
400多个流行站点记录用户按键等动作 或导致个人敏感信息遭暴露
LeakedSource爆料:Rambler.ru网站被黑,1亿用户个人数据遭泄露
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://thehackernews.com/2017/12/keyboard-data-breach.html