WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Ứng dụng bàn phím ảo thu thập dữ liệu 31 triệu khách hàng
Trong kỷ nguyên số, có một câu nói nổi tiếng rằng nếu bạn không trả tiền thì bạn không phải là khách hàng, bạn là sản phẩm.
Khi tải ứng dụng cho smartphone, hầu hết người dùng không nhận ra họ bị thu thập bao nhiêu dữ liệu. Ngày nay, rất nhiều nhà phát triển ứng dụng có những hành động vô trách nhiệm và một ví dụ mới đây là về ứng dụng bàn phím ảo.
Một nhóm các nhà nghiên cứu bảo mật tại Trung tâm An ninh Kromtech đã phát hiện ra một lượng lớn dữ liệu cá nhân của hơn 31 triệu người dùng ứng dụng bàn phím ảo phổ biến, AI.type, vô tình bị rò rỉ trực tuyến. Bất kỳ ai cũng có thể tải về những dữ liệu này mà không cần bất kỳ mật khẩu nào.
Được thành lập 2010, Ai.type là một bàn phím có thể tùy chỉnh và tùy biến cho điện thoại di động và máy tính bảng, với hơn 40 triệu người dùng trên toàn thế giới.
Rõ ràng, cơ sở dữ liệu MongoDB được sở hữu bởi startup AI.type đã bị định cấu hình sai, làm lộ toàn bộ 577 GB cơ sở dữ liệu trực tuyến bao gồm một số lượng lớn thông tin nhạy cảm người dùng, trong khi những thông tin này không cần thiết cho hoạt động của ứng dụng.
“…họ dường như thu thập mọi thứ từ danh bạ đến thao tác gõ phím”.
Dữ liệu lộ lọt của 31 triệu người dùng bao gồm:
· Tên, số điện thoại, địa chỉ mail
· Tên thiết bị, độ phân giải màn hình và chi tiết model
· Phiên bản Android, số IMSI và số IMEI
· Tên mạng di động, quốc gia cư trú và thậm chí các ngôn ngữ được người dùng lựa chọn
· Địa chỉ IP (nếu có), cùng với vị trí GPS (kinh độ/vĩ độ)
· Liên kết và thông tin liên quan đến hồ sơ truyền thông xã hội, bao gồm ngày sinh, email, hình ảnh
“Khi các nhà nghiên cứu cài đặt Ai.Type, họ ngạc nhiên khi phát hiện ra người dùng phải cho phép toàn quyền truy cập dữ liệu trên chiếc iPhone được test, gồm tất cả dữ liệu bàn phím trong quá khứ và hiện tại”.
Hơn nữa, cơ sở dữ liệu bị rò rỉ cũng cho thấy ứng dụng bàn phím ảo cũng ăn cắp danh bạ của người dùng, bao gồm tên và số điện thoại của những người liên lạc - và đã tạo được hơn 373 triệu bản ghi.
Các nhà nghiên cứu tiếp tục đặt câu hỏi rằng "tại sao bàn phím và ứng dụng biểu tượng cảm xúc cần thu thập toàn bộ dữ liệu của điện thoại hoặc máy tính bảng của người dùng"?
Khi tải ứng dụng cho smartphone, hầu hết người dùng không nhận ra họ bị thu thập bao nhiêu dữ liệu. Ngày nay, rất nhiều nhà phát triển ứng dụng có những hành động vô trách nhiệm và một ví dụ mới đây là về ứng dụng bàn phím ảo.
Được thành lập 2010, Ai.type là một bàn phím có thể tùy chỉnh và tùy biến cho điện thoại di động và máy tính bảng, với hơn 40 triệu người dùng trên toàn thế giới.
Rõ ràng, cơ sở dữ liệu MongoDB được sở hữu bởi startup AI.type đã bị định cấu hình sai, làm lộ toàn bộ 577 GB cơ sở dữ liệu trực tuyến bao gồm một số lượng lớn thông tin nhạy cảm người dùng, trong khi những thông tin này không cần thiết cho hoạt động của ứng dụng.
“…họ dường như thu thập mọi thứ từ danh bạ đến thao tác gõ phím”.
Dữ liệu lộ lọt của 31 triệu người dùng bao gồm:
· Tên, số điện thoại, địa chỉ mail
· Tên thiết bị, độ phân giải màn hình và chi tiết model
· Phiên bản Android, số IMSI và số IMEI
· Tên mạng di động, quốc gia cư trú và thậm chí các ngôn ngữ được người dùng lựa chọn
· Địa chỉ IP (nếu có), cùng với vị trí GPS (kinh độ/vĩ độ)
· Liên kết và thông tin liên quan đến hồ sơ truyền thông xã hội, bao gồm ngày sinh, email, hình ảnh
“Khi các nhà nghiên cứu cài đặt Ai.Type, họ ngạc nhiên khi phát hiện ra người dùng phải cho phép toàn quyền truy cập dữ liệu trên chiếc iPhone được test, gồm tất cả dữ liệu bàn phím trong quá khứ và hiện tại”.
Hơn nữa, cơ sở dữ liệu bị rò rỉ cũng cho thấy ứng dụng bàn phím ảo cũng ăn cắp danh bạ của người dùng, bao gồm tên và số điện thoại của những người liên lạc - và đã tạo được hơn 373 triệu bản ghi.
Các nhà nghiên cứu tiếp tục đặt câu hỏi rằng "tại sao bàn phím và ứng dụng biểu tượng cảm xúc cần thu thập toàn bộ dữ liệu của điện thoại hoặc máy tính bảng của người dùng"?
Theo: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: