Von Apps ausgespäht Daten von Millionen Smartphone-Nutzern lagen offen im Netz
Screenshot aus dem Werbevideo von "Ai.Type"
Foto: ai-type"Achtung", warnt das Handy-Betriebssystem nach der Installation der App "Ai.Type". Die virtuelle Tastatur könne "alle von Ihnen eingegebenen Texte, einschließlich persönlicher Daten wie Passwörter und Kreditkartennummern, sammeln." Genau das ist bei vielen Tastatur-Apps von Drittanbietern üblich - und gefährlich.
Wie das Tech-Blog "ZDnet" unter Bezug auf Sicherheitsforscher von Kromtech berichtet, hat die für iOS und Android verfügbare Tastatur-App "Ai.Type" diesen Umstand ausgenutzt, um sensible Daten ihrer Kunden auszuspähen. Hinzu kommt, dass die App-Entwickler die erbeuteten Daten offenbar nicht einmal richtig geschützt haben. Die Sicherheitsforscher wollen sie im Internet entdeckt haben - auf einem Server ohne Passwortschutz.
"Ai.Type"-Mitgründer Eitan Fitusi hat auf Anfrage des SPIEGEL bestätigt, dass die Nutzerdatenbank aufgrund einer Panne nicht gesichert war. Inzwischen habe man das geändert. Zudem habe außer den Sicherheitsforschern niemand auf die ungeschützte Datenbank zugegriffen.
Möglicherweise wurden auch Passwörter gespeichert
Zu den aufgezeichneten Nutzerdaten gehörten den Kromtech-Forschern zufolge Namen, Telefonnummern, E-Mail-Adressen und Ortsdaten. Auch Gerätekennungen, IP-Adressen und Links zu Social-Media-Profilen wurden gespeichert. Offenbar sind teilweise auch die Adressbücher der Nutzer ausgelesen worden. Die Datenbank enthält zudem Statistiken, wie viele Nachrichten Nutzer pro Tag geschrieben haben und wie viele Wörter sie dabei durchschnittlich verwendeten.
Einen Teil des Datensatzes hat "ZDnet" gesichtet und überprüft. Insgesamt sei er 577 Gigabyte groß. In einer Tabelle mit mehr als 8,6 Millionen Einträgen will "ZDnet" zudem Textschnipsel entdeckt haben, die Nutzer offenbar mit der Tastatur-App geschrieben haben. Teilweise seien dort neben Suchanfragen auch Passwörter und die dazugehörigen E-Mail-Adressen zu finden.
"Ai.Type"-Mitgründer Eitan Fitusi weist diesen Vorwurf zurück. "Wir sammeln, speichern oder versenden keine Passwort- oder Kreditkartendaten", erklärt er auf Anfrage. Die von seinem Unternehmen gespeicherten Daten seien nicht "sensibel", sondern "grundlegend". In der App-Beschreibung von "Ai.Type" heißt es: "Ihr Datenschutz ist uns wichtig. Wir geben nie Ihre Daten frei oder erfassen Ihre Passwörter. Texte bleiben verschlüsselt und privat."
Das Unternehmen speichert offenbar noch viel mehr
Im Detail weist Fitusi aber nur einen Bruchteil der von den Sicherheitsforschern vorgebrachten Vorwürfe zurück. Von der Tastatur-App aufgezeichnet und gespeichert würden Fitusi zufolge durchaus statistische Daten über das Nutzerverhalten, wie etwa Nutzungsdauer und Klicks auf Werbeanzeigen sowie auf Länder bezogene Ortsdaten aufgrund von IP-Adressen. Auch Daten von Social-Media-Accounts würden teilweise aufgezeichnet.
Lokal erfasse die App außerdem die auf dem Gerät gespeicherten Namen, Telefonnummern und E-Mail-Adressen von Kontakten. Davon würden "statistische Teile" an Server des Unternehmens geschickt. Die Daten würden keinesfalls geteilt oder verkauft. Mit der Tastatur eingetippte Texte speichere das Unternehmen jedoch nicht. Wie die von "ZDnet" entdeckten Textschnipsel in der Datenbank auftauchen konnten, lässt Fitusi offen.
Fitusi weist aber darauf hin, dass die Datenbank Informationen enthalten könne, die möglicherweise andere Apps des Unternehmens aufgezeichnet hätten. Konkret nennt er die Apps "Ai Emoji Art FunBox" und "Ai Message Box", die zumindest die einmalige Gerätenummer (IMEI) auslesen, mit der sich Smartphones eindeutig identifizieren lassen.
Außerdem umfasse die betreffende Datenbank "nur" etwa die Hälfte der insgesamt erfassten Nutzerdaten, erklärt Fitusi. Mit anderen Worten: Die Apps seiner Firma sammeln über ihre Nutzer noch mehr Daten als angenommen. Und das Unternehmen nutzt zum Datensammeln offenbar noch andere, weitaus weniger sichere Apps als "Ai.Type". Fitusi meint dennoch, die Nutzer könnten sich "sicher fühlen".
Forscher warnen allgemein vor Tastatur-Apps
Kromtech-Sicherheitsforscher Bob Diachenko warnte vor dem Einsatz kostenloser Apps, die vollen Zugriff auf Geräte verlangen. "Wieder einmal stellt sich die Frage, ob es das wirklich wert ist, wenn Konsumenten ihre Daten im Austausch zu kostenlosen oder vergünstigten Produkten preisgeben", heißt es im Blog-Eintrag der Forscher.
"Ai.Type" ist zunächst kostenlos, weitere Funktionen lassen sich per In-App-Kauf freischalten. Nach Angaben der Entwickler wurde die App mehr als 40 Millionen Mal heruntergeladen. In einem Werbevideo wird die Anwendung als "schlauste Tastatur-App für Android" angepriesen.
Tastatur-Apps von Drittanbietern standen schon häufiger wegen mangelndem Datenschutz in der Kritik . Wer nicht gänzlich auf eine solche App verzichten will, sollte zumindest genau prüfen, ob der Anbieter vertrauenswürdig ist.
