Tastiera AI-type: libero accesso ai dati sensibili di oltre 31 milioni di utenti

06 Dicembre 2017 114

La tastiera AI-type ha lasciato libero accesso ai dati sensibili di oltre 31 milioni di utenti Android utilizzatori dell'app e non, esponendoli ad un potenziale e serio pericolo.

La scoperta è stata fatta dai ricercatori del Kromtech Security Center, in collaborazione con ZDNet, che hanno riscontrato una errata configurazione dei database MongoDB, utilizzati per salvare tutti i dati acquisiti dalla sola app per dispositivi Google. Sembra, infatti, esente da tale violazione l'app per il sistema operativo mobile di Apple.

I 577GB utilizzati dai server di proprietà di Eitan Fitusi, co-fondatore di AI-type, non erano protetti da alcuna password e chiunque avrebbe potuto accedervi senza particolari difficoltà. ZDNet, che ha avuto modo di verificare questa falla, ha trovato informazioni di ogni genere su ciascun utente, come i nomi completi, i relativi indirizzi email e abitativi, posizioni GPS, IMEI dei device utilizzati, i numeri di telefono e tanto altro.


Ma non è finita qui. Grazie a questo bug è stata fatta una scoperta ancora più sconcertante. L'app è in grado di salvare anche i contatti telefonici (374,6 milioni di numeri trovati) e le email (oltre 10 milioni) presenti negli smartphone o tablet in cui viene installata, oltre alle informazioni su tutti gli altri programmi presenti comprese password, dati bancari e numeri delle carte di credito. Il tutto viene archiviato, ovviamente, nei database che prima di questa scoperta non erano ancora stati crittografati.

Speriamo che Google, benché metta in guardia tutti gli utenti Android sull'installazione di tastiere di terze parti a causa dei numerosi permessi richiesti e alla potenziale possibilità di salvataggio di tutto il testo digitato, possa porre un limite a tutto ciò e proteggerci da problematiche di questo genere.

Per ricevere maggiori informazioni a riguardo, potete visitare le pagine dedicate presenti sul sito zdnet.com e mackeepersecuruty.com.

Lo smartphone Android più completo sul mercato e con il miglior display in commerico? Samsung Galaxy Note 8 è in offerta oggi su a 479 euro oppure da Amazon a 539 euro.

114

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
ErCipolla

Effettivamente mi hai messo il dubbio perché ero convinto che ci fosse (uso swiftkey da quando era in beta), ma in effetti ora non ho trovato l'impostazione. A quanto pare, dai commenti che leggo sul loro knowledge base, la feature c'era fino alle versioni 3.xx, dalla 4 in poi l'hanno levata. Ecco spiegato il mistero :)

Ikaro

A ma sei quello dell'altra volta :D e fatti riconoscere però... Comunque sei te mi hai tirato fuori SwiftKey e gboard cosa vuoi che ti dica???

ErCipolla

Beh, poco importa, qui si parla di AI-Type, bisognerebbe verificare se quella ce l'aveva per capire se sia "legittimo" che quei dati siano tra i log del digitato. Io non la uso quindi non saprei.

Ikaro

Anch'io ho questo dilemma... Anche gboard mai fatto, ma qua in due mi dicono che lo fanno, non so che dire :D

ErCipolla

Swiftkey non mi pare abbia tale funzione, io lo uso da sempre e non mi pare mi chieda accesso ai contatti.

qandrav

guarda non dico nulla se no fa ancora il ba mbi netto e cancella pure qua.

se ci pensi è assurdo, noi utenti che andiamo ad insegnare ad un redattore e quando gli facciamo notare la sequenza di ca xxate che ha scritto cancella e si offende...

Name

Certo, ma è evidente che google sia subdola (vedi il tracciare la posizione anche se disattivi l'opzione, ammetterlo e minimizzare).
Ovviamente spero e credo anche io che i nomi famosi, google, swype, swiftkey e simili siano più sicure, il mio commento era provocatorio proprio sulla base del fatto che ormai i dispositivi o hanno la propria tastiera ma tutti ormai "pubblicizzano" quella di google, oppure c'è direttamente quella di google o di terzi! Perciò scrivere nell'articolo che si spera google spinga ancora di più ad incentivare la gente a non usare tastiere di terze parti mi sembra alquanto ironico (e stup1do).

ErCipolla

Vero, anche se c'è da distinguere tra incompetenza e dolo.

Della serie: perlomeno nomi "grossi" come Google o Microsoft (Swiftkey) si spera siano più competenti dal punto di vista della gestione dei dati rispetto "sconosciuti" come quelli di AI-Type... di certo in Google non fanno cappelle clamorose come usare DB server esposti verso l'lesterno e senza password per stoccare dati sensibili.

Poi se invece il sospetto è che usino i dati per scopi "subdoli" quello è un altro discorso, molto più difficile da aggirare... anche se, se uno veramente è così paranoico, può sempre levare il permesso "accesso alla rete" alla tastiera.

Name

Attento però! Di tutte le tastiere non c'è da fidarsi, tranne quella di google ovviamente che dovrete usare al posto di quella del produttore dello smartphone! Perchè i dati affidati a google sono al sicuro.

Name

Oh beh, perchè google...

Name

"Speriamo che Google, benché metta in guardia tutti gli utenti Android
sull'installazione di tastiere di terze parti a causa dei numerosi
permessi richiesti"

Non sarebbe più corretto augurarsi che google (che poi android NON è di google ma vabbè, diciamo che google dovrebbe porre dei paletti per il suo play store) metta delle limitazioni e regole su cosa le app possono o non possono fare, per esempio una galleria che richiede accesso alla rubrica o alle chiamate o sms viene rifiutata a priori senza essere pubblicata!
Non vedo perchè dovrei essere io utente a leggere i permessi richiesti e decidere se accettare o meno, con magari in descrizione lo sviluppatore che scrive "è richiesto il permesso X per questo motivo, non violiamo la privacy", ma chi me lo assicura che tale motivo è reale e veritiero?!

B!G Ph4Rm4

Ma se sei te la mestruata che mi cerca sempre, ok che l'essere ignorati è una brutta bestia, però datti una calmata, non puoi mica scaricare le frustrazioni della tua misera vita su di noi ;)

stiga holmen

Disse il leone da tastiera che di giorno è un agnellino al macello....

B!G Ph4Rm4

Guarda che si capisce anche senza vederti che prendi hai solo preso schiaffi e abusi durante la tua vita, non serve che confermi la cosa facendo il gradasso, visto che nel resto della tua vita sei sottomesso ;)

stiga holmen

Hai sbagliato a mettere lo smalto?

B!G Ph4Rm4

Beone inutile

stiga holmen

che irritabile che sei...torna a smaltarti le unghie regazzina...

B!G Ph4Rm4

Che poveraccio che sei, stupìdo quanto una gallina e pure rompiballe, sparisci pagliaccio

stiga holmen

Quello che ha scritto una roba più falsa delle monete da 3€ se tu

B!G Ph4Rm4

Ahahahah ma che poi pensavo che questo commento fosse in risposta a quello sopra, invece è in risposta al primo che ho fatto alla notizia hahahaha.

Ma che diavolo hai capito sottospecie di rifiuto umano inutile alla società, non hai capito un tubo di niente ahahaha ;)

B!G Ph4Rm4

Ripeto, ma chi stava parlando del caso in particolare, ma li capisci i commenti o sei davvero al livello di quel ritardàto del tuo amichetto EmEr?

B!G Ph4Rm4

Ma chi ha parlato di questo problema in particolare, io stavo rispondendo ad un commento in maniera generale sul tema sicurezza, ma d'altra parte aspettarsi qualcosa da un mongolo come te è dura :)

B!G Ph4Rm4

E chi diavolo ha parlato di questo caso in particolare, non so che problema di comprensione del testo voi abbiate.

La favola è raccontare che la sicurezza di Android ormai equivale quella di iOS, stesso discorso per gli store, dove si ha un numero di problemi nettamente inferiore su quello Apple.
Semplicemente perchè viene effettuato un controllo che sullo store di Google, non viene effettutato, che che i fànboy Android ne dicano.

000

La sfortuna(anche se in realtà se la sono andata a cercare!) per quest'app è che hanno sollevato il coperchio, la realtà è che qualsiasi cosa gira sul playstore è fatta per fregare dati!

oreo85

E' proprio ridicolo. Hai notato come ha cancellato il suo articolo uc browser senza nemmeno delle scuse?

oreo85

Come mai non avete messo il link per scaricare l'app?

Tony Musone

ah bè... con "Qui c'è un equivoco" pensavo ti riferissi all'articolo, di solito è quello il riferimento dei commenti ;)

davide

Lo so, in teoria, ma tu invece sai come fanno a implementare questa funzione le altre app tastiera? Quello che volevo dire è che è un tema tecnico di programmazione, non di quanto sono stronzi gli sviluppatori, semmai dirò che sono dei cani a programmare perchè non riescono a fare l'autocompletamento della rubrica senza uploadartela sul loro cloud

dimebag darrell

Tutto viene salvato su server esterni e vale per ogni tastiera infatti accedendo con il tuo account le previsioni sono le stesse perché basate su cloud

davide

No dai, non ci sono inesattezze nell'articolo sono i commenti delle persone che mi hanno invogliato a scrivere perchè era chiaro che moltissimi non hanno capito, poi qualcuno addirittura ha capito dal mio post che li giustifico..mah...

takaya todoroki

scusa allora, pensavo che

"Le informazioni che raccoglie le raccolgono tutte le app tastiera che
forniscono funzioni di autosuggerimento/autocompletamento di
parole/contatti/indirizzi email/indirizzi fisici eccetera (compresa
quella di google!!), tant'è che è scritto anche nei termini di utilizzo,
che quel tipo di dati può finire sul loro cloud SENZA SECONDI FINI
provate a guardare anche altre tipo Swiftkey, anche loro fanno
esattamente queste cose..."

dicevo, pensavo che questa palese giustificazione con tanto di benaltrismo ('anche altre') l'avessi scritto tu, ma evidentemente ho letto male!

p.s.
Tutte le funzioni che hai citato NON HANNO NECESSITA' DI PASSARE I DATI A TERZI

p.s.
mia ultima risposta, quello che volevo dire l'ho detto.

davide

Ma infatti io non mi riferivo a quello che c'è scritto nell'articolo ma ai vari commenti. La notizia io l'ho letta altrove qua sono andato diretto sui commenti e ho letto che molti non hanno proprio capito la differenza tra questo episodio e gli altri casi in cui un ricercatore trova nel playstore una o più app malevole.

davide

Mi spieghi dove hai letto che li giustifico? Fesso sarai tu che non sai neanche leggere... In ogni caso mai installato AI-type in vita mia quindi i miei dati non li hanno di sicuro....

takaya todoroki

ma col ca***o quello che scrivo è privato e nessuno deve salvarlo sul suo server.
Che sia sicuro o meno.

takaya todoroki

fanno proprio bene a fottervi tutti i dati se siete cosi fessi da sentirvi pure in dovere di giustificarli...

Ikaro

Quella è l'aosp però, il mio dilemma è su SwiftKey devo non riesco proprio a trovarla l'opzione

dimebag darrell

Perché l'informatica di una volta era sicura?

dimebag darrell

Se non ti hackerano l'account della banca vuol dire che sei tra quelli fortunati!

ErCipolla

Impostazioni tastiera Android (aosp) - > correzione testo - > suggerisci nomi dei contatti

Anders Ge (f.k.a."usagisan")

Ok, ma ora se uno vuole sapere se è tra i “fortunelli” come fa?

Tony Musone

sarà pure come dici ma non in questo caso, quel che dice davide è scritto nel titolo e nelle prime due righe:

La tastiera AI-type ha lasciato libero accesso ai dati sensibili di oltre 31 milioni di utenti Android utilizzatori dell'app e non, esponendoli ad un potenziale e serio pericolo.

Tony Musone

ma infatti non mi sembra sia stato scritto qualcosa di diverso, quel che scrivi è riportato nel titolo e nelle prime due righe:

La tastiera AI-type ha lasciato libero accesso ai dati sensibili di oltre 31 milioni di utenti Android utilizzatori dell'app e non, esponendoli ad un potenziale e serio pericolo

Leslieeeeee

Ogni giorno ce n’è una

Leslieeeeee

Ahaha aspetta e spera ahah

Leslieeeeee

Nooooo

Gabriel #JeSuisPatatoso

il 2000000% delle tastiere sullo store fa lo stesso. Senza archiviare informazione sull'utente e tutto quello che digita sarebbe impossibile fornire suggerimenti durante la digitazione o migliorare gli algoritmi di previsione.

Ikaro

Anche io mai chiesto... Forse perché l'ho usata un po' qualche anno fa, quando sta cosa non c'era e ha mantenuto quelle impostazioni, però è strano che non ci sia neanche nelle opzioni...
Comunque rimangono imei e GPS che in una tastiera non vedo a cosa servano...

Ikaro

Cioè che fa? Tu inizi a scrivere un nome e quella te lo completa con il numero di telefono, comunque a me no! E non trovo l'opzione :(

Ikaro

E cosa dovrebbero fare per farti capire che ti stai uncul@nd0? Farlo letteralmente... Sinceramente quando in un app tastiera trovo salvate tutte queste informazioni non penso "ah, magari lo fanno per me", se se, non ti offendere, ma la trovo una visione un po' ingenua

Ikaro

Dove sta? Io non la trovo...

Google Pixel 3: live batteria (2915 mAh) | Fine 18.55

Recensione Sony KD-55XF9005, Android TV UHD con Dolby Vision ed elettronica top

Samsung Galaxy A7 2018: live batteria (3300mAh) | Fine ore 22:55

OnePlus 6T (3.700mAh): Live Batteria concluso alle 22:50