Teclado para Android expõe dados de 31 milhões de usuários
AI.type tem servidor invadido e informações como e-mail, localização, IMEI e lista de apps instalados são vazadas
Se você usa ou já baixou o teclado AI.type, é bom tomar cuidado: seus dados pessoais podem ter sido expostos por conta de um vazamento da base de dados do aplicativo, que era armazenada em um servidor sem senha alguma (!).
O teclado virtual foi baixado mais de 40 milhões de vezes e estima-se que os dados de 31 milhões de usuários foram expostos. Ele oferece temas personalizados, suporte a vários idiomas, swipe, calculadora e sugestão de emojis.
Apesar de ter versões para Android e iOS, apenas as informações dos usuários de Android foram expostas. São mais de 577 GB de dados, que incluem pelo menos as seguintes informações:
- nome completo
- endereço de e-mail
- localização, incluindo cidade e país
- há quantos dias o aplicativo estava instalado
- resolução da tela
- mensagens enviadas por dia, por sessão, e idade dos usuários
A política de privacidade do AI.type gratuito, que coleta mais dados do que a versão paga, ainda expressa que o aplicativo tem permissão de armazenar o endereço de IP, junto com sua localização obtida pela rede, lista de contatos, mensagens de texto, IMEI, lista de aplicativos instalados e outros “dados comportamentais”.
O ZDNet teve acesso a uma parte da base de dados e confirmou o registro dessas informações mais sensíveis, em alguns casos. O site ainda descobriu que outras informações também foram expostas, como o número de telefone, nome da operadora e da provedora de internet no Wi-Fi. Alguns registros também mostram informações detalhadas do perfil público no Google, como data de nascimento, gênero e fotos de perfil.
É bem preocupante que os dados armazenados por um teclado sejam expostos porque, bem, ele sabe tudo o que você digita. Apesar do AI.type mostrar em seu site que qualquer caractere digitado é criptografado, o ZDNet descobriu uma tabela com 8,6 milhões de registros de texto que foram digitados pelo teclado, incluindo números de telefone, termos de pesquisa, endereços de e-mail e suas senhas correspondentes (!!).
O caso é um alerta para o uso de teclados de terceiros no Android, que têm acesso a absolutamente tudo o que você digitar. No iPhone, continuo usando o SwiftKey, comprado pela Microsoft, mas o teclado padrão da Apple sempre aparece quando é necessário digitar alguma senha. Agora, vejo que é uma medida necessária.
Com informações: Kromtech Security Center.