CULTURA Y TECNOLOGíA
135 meneos
1247 clics
Si has usado el teclado AI.Type en tu Android, tus datos personales están en peligro

Si has usado el teclado AI.Type en tu Android, tus datos personales están en peligro

Ai.Type expuso accidentalmente toda su base de datos alojada en MongoDB de 577 GB a cualquier persona con conexión a Internet. Un error en la configuración de la base de datos alojada en los servidores permitiría a cualquier persona con una conexión a Internet navegar por las bases de datos, descargarlas o, incluso, el peor de los casos, eliminar los datos almacenados en ellas. Teóricamente, cualquiera que haya descargado e instalado el teclado virtual Ai.Type en su teléfono tiene todos los datos del teléfono expuestos públicamente en la red.

| etiquetas: teclado , android , hacker , privacidad , fallo , seguridad
Yo utilizo Touchpal y me parece que ya saben de mí hasta con qué dedo le doy con más fuerza.
Y la gente sigue utilizando estas cosas.
#2 ¿Desde qué dispositivos has escrito ese mensaje?
#15
Desde uno que no utiliza teclados que se conectan a Internet.
#24 ¿Una Olivetti? Porque si crees que el propio de Android no recoge datos...
#25
Quien recoge datos son las aplicaciones que instales. Y las puedes bloquear.
#26 Y las que vienen instaladas también. Incluso en un Android puro. Pero estos datos los guardará Google y harán con ellos lo que quieran. Otra cosa es que lo admitan

Como con ésto: messenger.es/google-reconoce-que-android-recoge-datos-de-localizacion-
#28
Yo me descargo Android y no trae ninguna aplicación que se conecta a Internet instalada. Es más, las que instalo y que tengan algún peligro las bloqueo.
¿Accidentalmente? No, esto es una negligencia grave y al menos en España, y seguramente en gran parte de Europa, debería caerles una bien gorda. Instalar MongoDB y no saber que por defecto no tiene activado el control de acceso es una chapuza de cuidado, y más si lo dejas abierto a Internet y recolectas datos de contactos y números de teléfono.
#3 ¿MongoDB? Qué nombre más apropiado.
#6: Da para hacer chistes fáciles, tipo Arévalo. :-/
#6 #7 viene de humongous, que significa gugantesco
#3 en seguridad informática una de las normas básicas es que la seguridad esté activada por defecto, luego si eso se puede desactivar, lo contrario lleva a esto. Por lo que la negligencia parte ya de los creadores de la base de datos.
#35 MongoDB lo hicieron en una tarde
El peor de los casos? El peor de los casos es que borren los datos ?
Es algo que nunca me ha gustado de Android... Eso de que el teclado sea una aplicación, te da libertad, pero me da una sensación extraña...

También entiendo la libertad que da, pero no sé si merece la pena
#5 La libertad de no tener ni puta idea de por dónde te sopla el aire.
Al menos con Apple (que ibas por aquí, tunante) ya sabes que el aire te sopla por la nuca.
#8 se agradece el comentario agradable, pero como no sé cómo funciona en iOS ni en Blackberry, he dicho Android. No iba por nada que no haya dicho, como mucho me habré equivocado, pero a partir de ahora pensaré lo contrario porque alguien que me ha llamado tunante me ha dicho que no tengo ni idea.
#9 en iOS, actualmente se pueden instalar teclados de terceros, pero por seguridad, cuando escribes una clave, se activa el teclado del sistema, a no ser que le des acceso total al teclado de terceros.
#5 aqui la culpa no es de android, si no del manco del sysadmin, que pudo haberla cagado igualmente en linux, macos o windows.
#14 evidentemente el fallo de seguridad no es de Android, sino de la gestión de la base de datos del teclado, pero en un sistema operativo "tradicional" no hay que instalar una aplicación, como mucho un keylogger. Cómo en Android el teclado es una aplicación externa, se externaliza también la seguridad... Y eso es muy cómodo, pero tiene estos inconvenientes
#5 depende del fabricante del teléfono también, Motorola y otras te meten un android bastante puro, con lo que si llevan el teclado AOSP sabes que ese es seguro porque no envía datos a ninguna parte. Lo mismo la versión antigua del teclado oficial de Google. Pero vamos desde que lo renombraron a GBoard lo han convertido en un keylogger, y no puedes instalar el antiguo ni el AOSP porque el nombre del paquete es el mismo, android.latin.ime o algo asi si no recuerdo mal. A menos que rootees el teléfono y borres a mano el GBoard, cosa que ya es un problema de seguridad en sí.
#18 Y tanto que es un keylogger. Además, mundial y en la nube.
minerotunelero.wordpress.com/2017/11/
#20 sí, encima te "avisa" y te dice que es opcional.. pero es opt-out, viene preactivado. Además son 3 opciones las que loguean y envian datos a casa, y al desactivar el aviso del primer inicio solo desactiva dos de ellas (compartir fragmentos y enviar estadisticas de uso). La "busqueda predictiva" sigue activada, y eso significa que está enviando a los servidores de google cada pulsación de tecla para darte las sugerencias (que lo mismo hace chrome en su barra de…   » ver todo el comentario
#22 Cuando me ha sugerido mi password en la barra de sugerencias en mitad de una charla de whatsapp, pues, como que no me ha gustado nada.
#5
Ejemplo de caso de uso de teclado con seguridad: Pinpad con cifrado de memoria.
Una aplicación software puede cifrar los contenidos en memoria. Además, al ser un proceso separado sus contenidos no pueden ser leídos por otra aplicación salvo que Linux lo permita.

El texto que introduces se envía por un canal determinado a la aplicación que ha solicitado entrada de texto. Todo esto debidamente separado también por Linux.
#27 a qué te refieres con pinpad? Busco en Google Play y no veo nada que parezca relacionado... ¿Debería buscar en F-Droid?

No se si estás proponiendo una solución teórica o algo una solución concreta, pero gracias en cualquier caso.
#30
Bueno, me refería a la utilidad «https://www.gnupg.org/software/pinentry/index.html [[pinentry]]» de GnuPG. Y erróneamente dije que cifraba memoria pero no es así. Lo que hace es un manejo seguro de la memoria: limpiarla (poner a cero las estructuras de datos), liberarla y reservarla de manera segura. Utiliza el protocolo Assuan que establece una serie de pasos para intercambiar datos de manera segura entre dos procesos.

En cualquier caso, siempre se puede cifrar la memoria, incluso utilizar el hardware para ello como por ejemplo el sistema de AMD el SEV.
#32 la versión para android parece que no está soportada...
guardianproject.info/code/gnupg/

Aquí otra que recomiendan:
www.openkeychain.org/
#38
No hablaba de Android en concreto.
¿MongoDB? el nombre parece una broma...la base de datos para Mongol#s
Tengo un móvil chino, fijo que tienen mi careto grabado viendo webs cochinotas. Que les aproveche.
#11 Hay un capítulo de Black Mirror con un argumento parecido. Al prota no le hace risa.
¿A qué idiota se le ocurre tener una base de datos en 2017 sin que esté cifrada? ¿Creen que están en los 80?
Entre los datos que habrían sido recopilados por los atacantes se encontrarían el nombre completo de cada usuario, las direcciones de correo electrónico y la fecha en la que se instaló la aplicación. Cada registro también incluye la ubicación precisa del poseedor del dispositivo, incluida su ciudad y país.

La pregunta es: ¿Para qué cojones necesita un teclado esta información?
#19 Para el texto predictivo, por ejemplo, geolocaliza para conocer palabras típicas de la zona. Si estás en Andalucía no te va a recomendar txacoli, ni en San Sebastián te recomendará jartá. Y conociendo el origen del hablante, se ligan el uso de palabras a una zona. Retorcido, pero técnicamente explicable.
577 GB, lo típico que yo me bajo cuando me encuentro por ahí y me lo llevo en un pincho de los de publicidad
¿Alternativa buena a Gboard? Por probar otro...
También me había hecho la misma pregunta, además, tendrán como 500 backups porque no dudo que esa información se venda como paquete de Big data a terceros.

menéame