ai.type : inquiétante fuite de données pour le clavier intelligent sur mobile

Le par Jérôme G.  |  10 commentaire(s)
fuite

La populaire application de clavier ai.type a laissé en libre service les données personnelles de 31 millions d'utilisateurs. Le fondateur de ai.type dément l'étendue des données exposées.

Existant dans une version gratuite et payante, l'application de clavier virtuel pour mobile ai.type se veut intelligente. Son développeur éponyme semble avoir fait une belle bourde avec une fuite de données accidentelle.

Une fois de plus, c'est une mauvaise configuration de MongoDB qui est en cause. Elle a permis aux chercheurs en sécurité de Kromtech Security Center de débusquer une base de données de 577 Go accessible sans mot de passe et sans chiffrement.

Ce genre de trouvaille n'est pas une première. Par ailleurs, Kromtech a aussi eu quelques soucis avec sa gestion de MongoDB par le passé. Pour le cas présent, c'était un libre accès aux données personnelles de plus de 31 millions d'utilisateurs. A priori, seuls les utilisateurs Android sont affectés.

ZDNet a été en mesure d'obtenir une partie de la base de données (qui a été sécurisée depuis). Il est question de noms d'utilisateurs, adresses mail, depuis combien de temps l'application a été installée ou encore de la localisation. Pour certains enregistrements, cela va plus loin.

Par exemple, des numéros IMSI et IMEI, des numéros de téléphone, adresses IP, sans compter des détails sur des profils Google publics. Dans certaines tables, il y avait également des données sur des contacts de l'appareil.

Ce n'est pourtant pas terminé avec parfois des informations saisies en utilisant le clavier alternatif. Des informations sensibles avec notamment des identifiants. Si jamais un cybercriminel est aussi tombé sur la base de données… il a de quoi fomenter quelques pièges.

Cette fuite de données fait en outre fortement s'interroger sur la grande latitude de collecte d'informations avec l'application gratuite.

À la BBC, Eitan Fitusi, le responsable et fondateur de ai.type, a minoré l'étendue de la quantité de données exposées. Il a évoqué une " base de données secondaire ", et a précisé que les données de localisation n'étaient pas exactes, qu'il n'y avait pas de numéros IMEI et que les données collectées sur le comportement de l'utilisateur ne concernaient que les clics sur les publicités.


  • Partager ce contenu :
Complément d'information

Vos commentaires

Trier par : date / pertinence
skynet Absent VIP icone 78654 points
Le #1991372
Ca craint, concernant tous les claviers alternatifs dont on dispose (Swiftkey et autres ...)
smartmeister Hors ligne Vétéran avatar 1502 points
Le #1991373
claviers alternatifs, fait alternatifs, mais conneries en continue par contre !
Anonyme
Le #1991374
Le problème n'est pas tant la fuite elle-même que l'existence de cet entrepôt de données pour commencer ! Pas de données, pas de fuite possible, tout simplement
iFlo59 Connecté VIP icone 30193 points
Premium
Le #1991410
Putain KOMAN JSUI SOULAJER !

Je ne suis pas friand des personnalisations des claviers/téléphonie (Call truc bidule)/SMS etc... j'imagine que dans quelques semaines on apprendra des trucs aberrant comme quoi les alternatifs SMS sont pires que tout le reste (collecte des conversations, IMEI, numéros de téléphones, ID de paiement par opérateur etc...)

J'ai toujours sû que les alternatifs ne sont pas une solution...
skynet Absent VIP icone 78654 points
Le #1991440
iFlo59 a écrit :

Putain KOMAN JSUI SOULAJER !

Je ne suis pas friand des personnalisations des claviers/téléphonie (Call truc bidule)/SMS etc... j'imagine que dans quelques semaines on apprendra des trucs aberrant comme quoi les alternatifs SMS sont pires que tout le reste (collecte des conversations, IMEI, numéros de téléphones, ID de paiement par opérateur etc...)

J'ai toujours sû que les alternatifs ne sont pas une solution...


Malheureusement les apps officielles non plus. Va demander à One ce qu'il en pense

En fait on navigue en plein brouillard, quelle que soit la technologie utilisée.
dan4 Hors ligne VIP icone 5281 points
Le #1991652
depuis quand un clavier va entreposer des données qui me semble n'est qu'un périphérique virtuel. Wow.

skynet Absent VIP icone 78654 points
Le #1991873
dan4 a écrit :

depuis quand un clavier va entreposer des données qui me semble n'est qu'un périphérique virtuel. Wow.


C'est aussi une application, et elle fait ce qu'elle veut. Pratique pour les mises à jour, les prédictions, etc .. moins pour la confidentialité
PERCE-NEIGE Hors ligne Héroïque avatar 766 points
Le #2113977
Depuis toujours! Il faut se réveiller. Chacune des applications qu'on installe sur un téléphone a un certain nombre d'autorisations (je parle de celles qu'on installe par Google Play, parce que les autres, c'est invérifiable).

Même une application lampe de poche gratuite recueille des données, sauf un très petit nombre d'entre elles, et en général,, les utilisateurs s'en félicitent dans les commentaires de Google Play.

Il faut changer régulièrement ses mots de passe, et n'utiliser aucun mot du dictionnaire.
Vérifier ici si une des vos adresses ou mot de passe figure dans une base de donnée public de pirates ou spammeurs: https://haveibeenpwned.com/

Voilà ce qu'ils ont récupéré avec le clavier virtuel:
Address book contacts, Apps installed on devices, Cellular network names, Dates of birth, Device information, Email addresses, Genders, Geographic locations, IMEI numbers, IMSI numbers, IP addresses, Names, Phone numbers, Profile photos, Social media profiles
PERCE-NEIGE Hors ligne Héroïque avatar 766 points
Le #2113978
Non, elle ne fait pas "ce qu'elle veut". On vérifie les autorisations avant d'installer!

Voici les autorisations qui sont listées sur Google Play (donc pas d'excuses, consultables avant d'installer):

Cette application peut accéder à :
Identité

find accounts on the device

Contacts

find accounts on the device
read your contacts

Téléphone

read phone status and identity

Photos/contenus multimédias/fichiers

read the contents of your USB storage
modify or delete the contents of your USB storage

Stockage

read the contents of your USB storage
modify or delete the contents of your USB storage

Micro

record audio

Identifiant d'appareil et données d'appel

read phone status and identity

Autre

receive data from Internet
view network connections
full network access
draw over other apps
use accounts on the device
control vibration
prevent device from sleeping
read Google service configuration
PERCE-NEIGE Hors ligne Héroïque avatar 766 points
Le #2113981
Non, le problème c'est d'afficher en clair des informations sensibles, sans codage.

Quand tu as des données utilisateurs, tu es obligé de les stocker quelques part, et comme des machines se connectent, c'est ce qu'on appelle des données en réseau.
Si une personne arrive à s'introduire dans le système, et qu'en plus toutes les données sont en clair, c'est du pain béni pour les hackeurs, car je devine que quand on est assez idiot pour mettre des infos sensibles en clair, on est aussi un peu bêbête question sécurité du réseau. Il est évident que les données n'était pas sur un "site internet", mais sur un intranet, mais ça revient au même, car du moment que c'est accessible en réseau, c'est comme la fenêtre de ta maison au premier étage, tu ne peux pas garantir la non intrusion ad vitam ærtenam.
icone Suivre les commentaires
Poster un commentaire