Es importante que todas las aplicaciones tengan el contenido clave completamente cifrado. Sin embargo hay muchos datos complementarios que no lo están y cualquier fallo puede ser fatal. Es el caso que afecta a Ai.Type, un popular teclado para Android que a pesar de no estar entre nuestros recomendados sí que era bastante popular en Google Play. Con varios años a sus espaldas y un número de descargas alrededor de los 40 millones.
Ahora los datos personales de 31 millones de usuarios que tuvieron en algún momento este teclado han sido filtrados ya que la base de datos utilizada por el desarrollador ha sido comprometida. Este servidor no estaba protegido por contraseña y permite a cualquier usuario interesado acceder a más de 577GB de datos personales entre los que se incluyen el nombre del usuario, la dirección de correo, cuando se descargó la aplicación e incluso la ciudad y país en caso que se diera permiso de localización.
Más problemático todavía es que parte del texto guardado en la base de datos tampoco estaba encriptado, por lo que se ha accedido a una gran cantidad de cadenas de texto almacenadas por la compañía. Información personal que incluye búsquedas webs, nombres de usuario, teléfonos y cadenas de correos, así como contraseñas.
Un auténtico fallo de seguridad que pone de manifiesto la importancia que los servicios utilizados estén protegidos al máximo nivel. No estamos hablando ya de un hackeo muy complejo o un bug que pronto será parcheado, el problema de hoy nos muestra como tenemos aplicaciones instaladas en nuestro móvil que pueden acceder a información muy relevante y no cuentan con suficientes medidas de seguridad.
Ai.Type fue cofundada en 2010 por Eitan Fitusi y no es la primera vez que hay evidencias sobre la nula seguridad de su teclado. En 2011 vemos que sitios especializados como Android Police ya se habían puesto en contacto con el desarrollador.
Ahora investigadores del Kromtech Security Center han mostrado que en concreto 31,293,959 usuarios han vistos comprometidos muchos de sus datos. ¿Por qué esos y no más? La respuesta es que las últimas versiones de Ai.Type sí venían bien encriptadas, pero no así quienes utilizasen versiones anteriores a la actualización.
El teclado Ai.Type tiene dos versiones, una gratuita y otra de pago. ¿La diferencia? Además de varias funcionalidades más tenemos que en la versión gratis se recogen más datos que en la de pago. Es habitual que muchos teclados de Android soliciten todo tipo de permisos ya que acceden a información muy sensible, pero la privacidad también es uno de los puntos principales. La compañía asegura que cualquier texto introducido es totalmente privado y encriptado, pero al verse afectada su base de datos se ha comprobado que solo es así en parte.
Via | ZDnet
En Xataka Android | Gboard vs SwiftKey: comparativa a fondo entre los dos teclados Android más populares
Ver 7 comentarios