Schrift:
Ansicht Home:
Netzwelt

Von Apps ausgespäht

Daten von Millionen Smartphone-Nutzern lagen offen im Netz

Die Tastatur-App "Ai.Type" hat sensible Daten von etwa 31 Millionen Nutzern ausgespäht und ungeschützt ins Netz gestellt. Andere Apps derselben Entwickler sammeln offenbar noch mehr Daten.

ai-type

Screenshot aus dem Werbevideo von "Ai.Type"

Von
Mittwoch, 06.12.2017   14:06 Uhr

"Achtung", warnt das Handy-Betriebssystem nach der Installation der App "Ai.Type". Die virtuelle Tastatur könne "alle von Ihnen eingegebenen Texte, einschließlich persönlicher Daten wie Passwörter und Kreditkartennummern, sammeln." Genau das ist bei vielen Tastatur-Apps von Drittanbietern üblich - und gefährlich.

Wie das Tech-Blog "ZDnet" unter Bezug auf Sicherheitsforscher von Kromtech berichtet, hat die für iOS und Android verfügbare Tastatur-App "Ai.Type" diesen Umstand ausgenutzt, um sensible Daten ihrer Kunden auszuspähen. Hinzu kommt, dass die App-Entwickler die erbeuteten Daten offenbar nicht einmal richtig geschützt haben. Die Sicherheitsforscher wollen sie im Internet entdeckt haben - auf einem Server ohne Passwortschutz.

"Ai.Type"-Mitgründer Eitan Fitusi hat auf Anfrage des SPIEGEL bestätigt, dass die Nutzerdatenbank aufgrund einer Panne nicht gesichert war. Inzwischen habe man das geändert. Zudem habe außer den Sicherheitsforschern niemand auf die ungeschützte Datenbank zugegriffen.

Möglicherweise wurden auch Passwörter gespeichert

Zu den aufgezeichneten Nutzerdaten gehörten den Kromtech-Forschern zufolge Namen, Telefonnummern, E-Mail-Adressen und Ortsdaten. Auch Gerätekennungen, IP-Adressen und Links zu Social-Media-Profilen wurden gespeichert. Offenbar sind teilweise auch die Adressbücher der Nutzer ausgelesen worden. Die Datenbank enthält zudem Statistiken, wie viele Nachrichten Nutzer pro Tag geschrieben haben und wie viele Wörter sie dabei durchschnittlich verwendeten.

Einen Teil des Datensatzes hat "ZDnet" gesichtet und überprüft. Insgesamt sei er 577 Gigabyte groß. In einer Tabelle mit mehr als 8,6 Millionen Einträgen will "ZDnet" zudem Textschnipsel entdeckt haben, die Nutzer offenbar mit der Tastatur-App geschrieben haben. Teilweise seien dort neben Suchanfragen auch Passwörter und die dazugehörigen E-Mail-Adressen zu finden.

"Ai.Type"-Mitgründer Eitan Fitusi weist diesen Vorwurf zurück. "Wir sammeln, speichern oder versenden keine Passwort- oder Kreditkartendaten", erklärt er auf Anfrage. Die von seinem Unternehmen gespeicherten Daten seien nicht "sensibel", sondern "grundlegend". In der App-Beschreibung von "Ai.Type" heißt es: "Ihr Datenschutz ist uns wichtig. Wir geben nie Ihre Daten frei oder erfassen Ihre Passwörter. Texte bleiben verschlüsselt und privat."

Das Unternehmen speichert offenbar noch viel mehr

Im Detail weist Fitusi aber nur einen Bruchteil der von den Sicherheitsforschern vorgebrachten Vorwürfe zurück. Von der Tastatur-App aufgezeichnet und gespeichert würden Fitusi zufolge durchaus statistische Daten über das Nutzerverhalten, wie etwa Nutzungsdauer und Klicks auf Werbeanzeigen sowie auf Länder bezogene Ortsdaten aufgrund von IP-Adressen. Auch Daten von Social-Media-Accounts würden teilweise aufgezeichnet.

Lokal erfasse die App außerdem die auf dem Gerät gespeicherten Namen, Telefonnummern und E-Mail-Adressen von Kontakten. Davon würden "statistische Teile" an Server des Unternehmens geschickt. Die Daten würden keinesfalls geteilt oder verkauft. Mit der Tastatur eingetippte Texte speichere das Unternehmen jedoch nicht. Wie die von "ZDnet" entdeckten Textschnipsel in der Datenbank auftauchen konnten, lässt Fitusi offen.

Fitusi weist aber darauf hin, dass die Datenbank Informationen enthalten könne, die möglicherweise andere Apps des Unternehmens aufgezeichnet hätten. Konkret nennt er die Apps "Ai Emoji Art FunBox" und "Ai Message Box", die zumindest die einmalige Gerätenummer (IMEI) auslesen, mit der sich Smartphones eindeutig identifizieren lassen.

Außerdem umfasse die betreffende Datenbank "nur" etwa die Hälfte der insgesamt erfassten Nutzerdaten, erklärt Fitusi. Mit anderen Worten: Die Apps seiner Firma sammeln über ihre Nutzer noch mehr Daten als angenommen. Und das Unternehmen nutzt zum Datensammeln offenbar noch andere, weitaus weniger sichere Apps als "Ai.Type". Fitusi meint dennoch, die Nutzer könnten sich "sicher fühlen".

Forscher warnen allgemein vor Tastatur-Apps

Kromtech-Sicherheitsforscher Bob Diachenko warnte vor dem Einsatz kostenloser Apps, die vollen Zugriff auf Geräte verlangen. "Wieder einmal stellt sich die Frage, ob es das wirklich wert ist, wenn Konsumenten ihre Daten im Austausch zu kostenlosen oder vergünstigten Produkten preisgeben", heißt es im Blog-Eintrag der Forscher.

"Ai.Type" ist zunächst kostenlos, weitere Funktionen lassen sich per In-App-Kauf freischalten. Nach Angaben der Entwickler wurde die App mehr als 40 Millionen Mal heruntergeladen. In einem Werbevideo wird die Anwendung als "schlauste Tastatur-App für Android" angepriesen.

Tastatur-Apps von Drittanbietern standen schon häufiger wegen mangelndem Datenschutz in der Kritik. Wer nicht gänzlich auf eine solche App verzichten will, sollte zumindest genau prüfen, ob der Anbieter vertrauenswürdig ist.

insgesamt 16 Beiträge
joachimpeter 06.12.2017
1. Sehr überzeugend
.."alle von Ihnen eingegebenen Texte, einschließlich persönlicher Daten wie Passwörter und Kreditkartennummern, sammeln." aber: "Wir sammeln, speichern oder versenden keine Passwort- oder Kreditkartendaten". [...]
.."alle von Ihnen eingegebenen Texte, einschließlich persönlicher Daten wie Passwörter und Kreditkartennummern, sammeln." aber: "Wir sammeln, speichern oder versenden keine Passwort- oder Kreditkartendaten". Ach und "Zudem habe außer den Sicherheitsforschern niemand auf die ungeschützte Datenbank zugegriffen." Schlaumeier! Lassen infolge einer Panne Milionen von Datensätzen offen im Netz stehen, aber wissen genau, dass sie niemand gefunden hat. Eine Mechnik, die Zugriffe registriert und nicht ausgehebelt werden kann haben sie ohne Panne hingekriegt? Normalerweise hiterlässt das Kopieren von Daten in der Quelle jedenfalls keine Spuren. Gibt es hier irgendwas, was sich nicht selber widerspricht?
dedroog 06.12.2017
2. ..wenn es umsonst ist, bist Du nicht der Kunde...
...sondern das Produkt
...sondern das Produkt
av-bero 06.12.2017
3. Welche App
spioniert denn heute nicht aus. Im Zeitalter der Digitalisierung ist der Mensch sowieso gläsern geworden. Die Stasi in der ehemaligen DDR hätte ihre wahre Freude an all den Smartphones und Tablets und den dazugehörigen Apps [...]
spioniert denn heute nicht aus. Im Zeitalter der Digitalisierung ist der Mensch sowieso gläsern geworden. Die Stasi in der ehemaligen DDR hätte ihre wahre Freude an all den Smartphones und Tablets und den dazugehörigen Apps gehabt...
Bürger Icks 06.12.2017
4. Macht doch eh nix!
Niemand, der sowieso nichts zu verbergen hat, wird jetzt sein Verhalten ändern. Ist halt so, kommt man nicht drum herum, wenn man auf Facebook und Twitter präsent sein muss um überleben zu können. Da nimmt man so ein wenig [...]
Niemand, der sowieso nichts zu verbergen hat, wird jetzt sein Verhalten ändern. Ist halt so, kommt man nicht drum herum, wenn man auf Facebook und Twitter präsent sein muss um überleben zu können. Da nimmt man so ein wenig Datenreichtum doch gerne in Kauf. Das bisschen Spionage und Datenhehlerei, wie soll mich das denn tangieren, ich bin doch viel zu unwichtig und kriminell bin ich ja auch nicht. Macht ruhig alle weiter so, ich amüsiere mich prächtig!
oschn 06.12.2017
5. Prinzip Tastatur
Na, dann erklär mir mal, wie du eine Tastatur-App programmieren willst, die nicht mitbekommt, was du eintippst? Also: das ist einfach der Standard-Hinweis von Android, der bei jeder Tastatur-App kommt, ja kommen muss! Das [...]
Zitat von joachimpeter.."alle von Ihnen eingegebenen Texte, einschließlich persönlicher Daten wie Passwörter und Kreditkartennummern, sammeln." aber: "Wir sammeln, speichern oder versenden keine Passwort- oder Kreditkartendaten". Ach und "Zudem habe außer den Sicherheitsforschern niemand auf die ungeschützte Datenbank zugegriffen." Schlaumeier! Lassen infolge einer Panne Milionen von Datensätzen offen im Netz stehen, aber wissen genau, dass sie niemand gefunden hat. Eine Mechnik, die Zugriffe registriert und nicht ausgehebelt werden kann haben sie ohne Panne hingekriegt? Normalerweise hiterlässt das Kopieren von Daten in der Quelle jedenfalls keine Spuren. Gibt es hier irgendwas, was sich nicht selber widerspricht?
Na, dann erklär mir mal, wie du eine Tastatur-App programmieren willst, die nicht mitbekommt, was du eintippst? Also: das ist einfach der Standard-Hinweis von Android, der bei jeder Tastatur-App kommt, ja kommen muss! Das andere ist dann der Hinweis vom Hersteller, dass eben - um die Warnung einzugrenzen - bestimmte Eingaben nicht gespeichert werden.

Artikel

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH
TOP