ai.type : le clavier alternatif Android qui a laissé fuiter en clair les données de 31 millions d’utilisateurs !
Le clavier Android alternatif AI.type a laissé fuiter les données personnelles de 31 millions d'utilisateurs avec dans certains cas des paires login/mots de passe. Le serveur de l'application de clavier s'est retrouvé sans mot de passe laissant un accès libre à plus de 577 Go de données non chiffrées ! Le serveur a été depuis sécurisé par un mot de passe.
Lorsque l'on pense faille de sécurité sous Android on pense rarement aux claviers alternatifs. Et pourtant : ces derniers sont le témoins de toutes vos interactions sur le smartphone ou presque. Et peuvent, s'ils ne sont pas correctement protégés, donner accès à des données ultra-sensibles. Illustration avec AI.type, un clavier gratuit qui se targue d'être “le plus intelligent et le plus personnalisé des claviers pour smartphones“, avec une base de plus de “30 millions d'utilisateurs“, sur sa page descriptive du Google Play Store.
Android : le clavier AI.type a laissé fuiter les données personnelles de 31 millions d'utilisateurs !
L'application y est très bien notée, avec 4,2 étoiles. Et pourtant : celle-ci a fait les frais d'une énorme fuite de données. Nos confrères américains de ZDNet rapportent que le serveur de de l'application n'était pas protégé par un mot de passe, laissant un accès béant à une base de plus de 577 Go pendant une durée indéterminée. Selon la firme de sécurité Kromtech Security Center, celle-ci contient des informations nominatives. Les entrées des abonnés payants contiennent le nom complet de l'utilisateur, son email, adresse, données de localisation, ainsi que le nombre de jours depuis que le clavier a été installé.
Mais la version gratuite contient aussi les numéros IMEI, numéro de téléphone, marque et modèle du smartphone, nom de l'opérateur. ZDNet ajoute que de nombreuses entrées contiennent également des détails associés à des profils Google publics, comme le sexe, dates de naissance, et photos de profils. Certaines entrées contiennent également la liste des applications installée révélant notamment la présence d'applications bancaires et/ou d'applications de rencontre.
Ce qui est extrêmement accablant c'est qu'en prime ces données étaient associées à 8,6 millions d'entrées de texte directement sur le clavier. Avec dans certains cas des paires login/mots de passe. Et “bien sûr”, en plus de ne pas être protégées par mots de passe, ces données n'étaient pas chiffrées sur le serveur. Si vous avez installé le clavier en question nous recommandons donc vivement de changer immédiatement tous vos mots de passe !
I can only add that unprotected Mongos have never been out of fashion. https://t.co/AhGlnDmNzo pic.twitter.com/vp4zDbOklu
— Bob Diachenko 🇺🇦 (@MayhemDayOne) December 5, 2017
