La aplicación de teclado AI.type pierde 31 millones de datos personales de los usuarios

Los teclados de terceros son muy populares en Android, y hay una buena razón. No solo tienden a ofrecer más funciones que el envío estándar de teclados en la mayoría de los teléfonos inteligentes, sino que, en algunos casos, proporcionan una mejor tecnología de autocorrección y predicción que las alternativas propias. Pero algunos teclados de terceros recopilan datos personales para mejorar sus funciones, lo que los convierte en un objetivo atractivo para los atacantes. Un ejemplo: el popular AI.type de teclado Android filtró los datos personales de más de 31 millones de usuarios porque supuestamente no protegía una de sus bases de datos en línea con una contraseña.

AI.type tiene muchos seguidores en Play Store. Solo la versión gratuita de la aplicación ha logrado acumular entre 10, 000, 000 - 50, 000, 000 de instalaciones y ha mantenido una calificación de crítica promedio respetable de 4.2 estrellas. Pero como descubrieron recientemente los investigadores de seguridad en Kromtech Security Center, AI.type no ha estado protegiendo adecuadamente sus bases de datos.

En el transcurso de una investigación de una semana, el Centro de Seguridad de Kromtech descubrió que una base de datos MongoDB mal configurada les permitía acceder a datos de casi 31 millones de usuarios. Su tamaño total fue de más de 577 gigabytes y contenía información que incluía los nombres completos de los usuarios, una lista de aplicaciones instaladas en el teléfono, direcciones de correo electrónico, ubicación precisa (incluyendo ciudad y país) y cuántos días los usuarios habían instalado la aplicación.

Curiosamente, se descubrió que la versión gratuita de AI.type había recopilado más datos que la versión paga. Más específicamente, recopiló números IMSI e IMEI del dispositivo, marcas y modelos de dispositivos, resoluciones de pantalla del teléfono, números de teléfono, nombres de proveedores de teléfonos celulares, direcciones IP, proveedores de Internet y números de versión de Android.

Los investigadores habían intentado ponerse en contacto con la compañía detrás de AI.type en múltiples ocasiones, pero no fue hasta el pasado fin de semana que finalmente lo reconocieron. AI.type dice que ahora ha asegurado la base de datos, y que la filtración no afectó a los nueve millones de usuarios de iOS de AI.type.


Fuente: Centro de seguridad de Kromtech