Aplicativo de Terceiros para o Teclado Deixa Vazar Detalhes Pessoais de Mais de 31 Milhões de Usuários do Android
Os especialistas em segurança cibernética anunciam que um desenvolvedor de teclado virtual expôs dados confidenciais coletados de seus usuários a uso indevido. O Centro de Segurança Kromtech descobriu grandes quantidades de arquivos de clientes que vazaram on-line e foram disponibilizados publicamente a qualquer pessoa com acesso à Internet. Aparentemente, isso se tornou possível através de um banco de dados MongoDB mal configurado, enquanto os dados vazados pertencem à empresa israelense AiType. A inicialização baseada em Tel Aviv falhou em proteger seus servidores com uma senha, expondo assim todos os registros armazenados dos clientes a roubo e uso indevido de dados. Os detalhes do usuário em questão foram coletados pelo aplicativo de teclado personalizado da empresa para smartphones e tablets. Embora o aplicativo esteja disponível para dispositivos Android e iOS, o problema diz respeito apenas aos usuários do Android.
As estatísticas de download da Google Play Store mostram que o aplicativo foi baixado cerca de 40 milhões de vezes, e a tendência aumenta. Ao mesmo tempo, o banco de dados vazado contém dados de mais de 31 milhões de clientes que em algum momento usaram o teclado na tela do Ai.Type. Foi só depois que os pesquisadores do Kromtech Security Center tentaram entrar em contato com o proprietário da empresa algumas vezes que o Ai.Type reconheceu o lapso de segurança e protegeu seus servidores.
É comum que os teclados na tela exijam permissões de alto nível, e o Android adverte seus usuários de que tudo o que digitam em seus dispositivos móveis pode ser coletado por esses aplicativos, incluindo detalhes pessoais, senhas e números de cartão de crédito. A Ai.Type não abre exceções, mas, neste caso, a empresa não conseguiu manter sua promessa de que tudo que foi inserido pelo teclado virtual permaneceria criptografado e privado.
A análise do banco de dados vazado mostra que alguns registros de clientes são mais detalhados que outros, dependendo se o dispositivo possui a versão gratuita ou paga do software. No entanto, as informações básicas coletadas de cada usuário incluem endereços de email, nome completo, local preciso e por quanto tempo o aplicativo foi instalado no dispositivo. Os registros mais completos também contêm uma lista dos contatos do usuário, além de detalhes de aplicativos de mídia social, como sexo, data de nascimento, fotos de perfil e senhas. Além disso, o Ai.Type reuniu dados precisos sobre o modelo, a configuração do dispositivo e uma lista de outros aplicativos instalados. O tamanho total do banco de dados exposto é 577GB, com 31.293.959 registros, enquanto o número total de registros armazenados nos servidores da empresa é de cerca de 373 milhões.
Até o momento, não há evidências de que o Ai.Type tenha vendido os dados coletados de seus usuários a terceiros, embora seja tipicamente o que as versões gratuitas dos aplicativos têm como alvo. Aqui, verifica-se que mesmo os usuários pagos do teclado Ai.Type não eram seguros, uma vez que teoricamente todos os que baixaram e instalaram o aplicativo poderiam ter seus dados expostos a todos os tipos de fraude cibernética e uso indevido.