AI.type 键盘应用3100万用户数据遭遇泄露

发布日期：2017-12-27

Kromtech安全中心的研究人员发现，AI.type 键盘应用3100万用户的个人数据遭遇泄露。这些数据包含在未设置保护机制的MongoDB数据库中，从而导致数据不慎泄露。

Ai.type成立于2010年，是一款针对移动手机和平板的自定义和个性化虚拟键盘，Google Play 应用商店的下载量达到约4000万次。

这个配置错误的MongoDB数据库在线暴露了577GB数据，包含用户的敏感信息，然而这些数据并不是运行该应用的必需数据。研究人员强调，Ai.Type会请求“完全访问”用户移动设备上存储的所有数据，包括历史及当前的键盘数据。

未设密码保护，任何人可下载3100万用户个人数据

研究人员指出，无需密码，任何人均可下载这些数据。泄露的数据十分详细，包括：

• 全名、电话号码和电子邮箱;

• 设备名称、屏幕分辨率和机型详情;

• 安卓版本、IMSI号码和IMEI号码;

• 移动网络名称、居住国家、甚至包括用户启用的语言;

• IP地址(如有)以及GPS位置(经纬度);

• 与社交媒体资料相关的链接和信息，包括出生日期、电子邮件、照片等。

研究人员震惊地发现，被泄数据库还窃取用户的通讯录，包括联系人的姓名和电话号码，而且已经搜刮了3.73亿条记录。

研究人员表示，该数据库中还包含统计数据，比如不同地区最热门的用户谷歌查询数据、每天的平均信息量、每条信息的字数、用户年龄、words_per_day': 0.0、'word_per_session等等。研究人员不禁质疑，一款键盘为何会收集如此详细的个人数据?

这起事件让移动用户认清不可否认的事实：下载应用程序的同时也可能会将自己置于攻击的风险之中，用户有必要加强意识。