2017/12/06

Teclado AI.Type revelou dados de 31 milhões de utilizadores


A utilização de um teclado de terceiros no smartphone é um potencial risco de segurança, e agora temos um caso que o comprova... à custa dos dados de 31 milhões de utilizadores.

Um teclado é algo que implicitamente necessita da confiança total do utilizador, pois nele irá escrever todo o tipo de dados sensíveis, incluindo passwords. Mas apesar de garantir que nunca iriam utilizar os dados dos utilizadores, a verdade é que o teclado AI.Type não tomou qualquer precaução para evitar o desastre que agora aconteceu, com dados privados de 31 milhões de utilizadores que estavam disponíveis na net ao dispor de quem deles quisesse abusar.

O teclado AI.Type está disponível para Android e iOS, sendo que no Android conta com mais de 10 milhões de downloads e tem (tinha) uma avaliação maioritariamente positiva de 4.2 estrelas. Só que, contrariamente ao que diziam, de que os dados dos utilizadores estariam encriptados e seguros nos seus servidores, investigadores de segurança descobriram que afinal todos esses dados - 577GB - estavam facilmente acessíveis e sem qualquer encriptação, contendo coisas como: nomes completos, emails, localização, que outras apps tinham instaladas e, no caso da versão gratuita, também recolhia informação adicional como o IMSI e IMEI, marca e modelo do smartphone, número de telefone, endereços IP, operadores, etc. (segundo a empresa, este leak de dados apenas afectava os utilizadores Android).


Não é por acaso que o iOS "assusta" os utilizadores alertando-os para os riscos de usar teclados de terceiros, que ainda assim são executados em modo "restringido" e sem poderem fazer comunicações - a não ser que o utilizador expresse activamente o modo de acesso completo (e com a introdução de passwords a fazer saltar para o teclado do sistema).

Como se vê, não importa se um teclado até funciona bem e tem bastante estilo... se depois nada nos garante que consigam manter todos os nossos dados em segurança. Desta vez foram estes dados (o que já é bastante preocupante)... da próxima poderão ser dados que contenham dicionários personalizados e outras coisas que se tenham escrito... incluindo passwords.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]