Populær tastatur-app rammet av gigantisk datalekkasje

[Gjest Marius B. Jørgenrud]

Minst 577 gigabyte med data eksponert.

Populær tastatur-app rammet av gigantisk datalekkasje

[tommyb]

Tastatur som sender inn alle brukernavn og passord (og andre ting man skriver inn) til en felles databaseserver der de ligger lagret i klartekst, ubeskyttet...

 

...er kanskje ikke et tastatur man ønsker bruke.

[jawil]

Men er virkelig alle tastetrykk lagret? Får ikke inntrykk av det fra original-artikkelen.. Kanskje dere tar munnen litt for full her?

[tommyb]

Men er virkelig alle tastetrykk lagret? Får ikke inntrykk av det fra original-artikkelen.. Kanskje dere tar munnen litt for full her?

 

Se også Z-net artikkelen:

 

But the database wasn't encrypted. We also found evidence that text entered on the keyboard does get recorded and stored by the company, though to what extent remains unclear.

 

The company also promises to "never share your data or learn from password fields," but we saw one table containing more than 8.6 million entries of text that had been entered using the keyboard, which included private and sensitive information, like phone numbers, web search terms, and in some cases concatenated email addresses and corresponding passwords.

[Suppen]

Tastatur som sender inn alle brukernavn og passord (og andre ting man skriver inn) til en felles databaseserver der de ligger lagret i klartekst, ubeskyttet...

 

...er kanskje ikke et tastatur man ønsker bruke.

 

...samt kontaktliste, persondata, lokasjon og annet. Slikt kan kanskje være nyttig til ordoppslag når man skriver, men trenger det virkelig å sendes til en server?

[Arbie]

 

Men er virkelig alle tastetrykk lagret? Får ikke inntrykk av det fra original-artikkelen.. Kanskje dere tar munnen litt for full her?

 

Se også Z-net artikkelen:

 

But the database wasn't encrypted. We also found evidence that text entered on the keyboard does get recorded and stored by the company, though to what extent remains unclear.

 

The company also promises to "never share your data or learn from password fields," but we saw one table containing more than 8.6 million entries of text that had been entered using the keyboard, which included private and sensitive information, like phone numbers, web search terms, and in some cases concatenated email addresses and corresponding passwords.

Det man har gjort er å installere frivillig en keylogger.

[Sutekh]

Du skal ikke være veldig dreven med regexp for å lete ut en sekvens av 16 (eller 4 sekvenser av 4) sifre fulgt av noe som kan tolkes som et navn fulgt av tre siffer...

 

Jeg er glad jeg alltid har holdt meg til default-tastaturet på telefonene mine.

Endret 6. desember 2017 av Sutekh

[Horst Tappert]

Lurer på hvor hacker.keyboard.appen (bash terminal keys)

prøvde å sende dataene min,,bare anntar den og gjør det ettersom den i likhet med det

"innebygde tastaturet" ! også prøver å kontakte internett rett som det er..

Blokker det med firewall heldigvis.

Tilsynelatende litt urelevannt men , det eneste jeg ikke kan se i firewallen min

på android er hva firewallen sjøl sender av data,, er det noen som har en firewall.app

som lister ALT av trafikk GARANTERT inkludert trafikken fra firewallen sjøl ?

(bruker noroot fw fra greyshirts)

[Gjest Marius B. Jørgenrud]

Men er virkelig alle tastetrykk lagret? Får ikke inntrykk av det fra original-artikkelen.. Kanskje dere tar munnen litt for full her?

Orignalkilden til dette er sikkerhetsforskerne hos Kromtech, som skriver (mine uthevinger):

 

When researchers installed Ai.Type they were shocked to discover that users must allow “Full Access” to all of their data stored on the testng iPhone, including all keyboard data past and present. It raises the question of why would a keyboard and emoji application need to gather the entire data of the user’s phone or tablet? Based on the leaked database they appear to collect everything from contacts to keystrokes. This is a shocking amount of information on their users who assume they are getting a simple keyboard application.

Endret 6. desember 2017 av Marius B. Jørgenrud

[DJViking]

Jeg ville aldri ha brukt en tastaturapp som har tilgang til Internett. Blir som om Logitech installerer en keylogger når man kobler til deres tastatur mot en PC.

[ozone]

Jeg husker mange klagde over at Apple tvang folk til å bruke sitt tastatur til passord, selv om man hadde andre tredjeparts installert.

Nå ser vi verdien i det.

 

Jeg kan heller ikke fatte at noen tillater et tastatur tilgang til internett...

[tommyb]

Jeg kan heller ikke fatte at noen tillater et tastatur tilgang til internett...

 

Det er naturlig at et tastatur med ordliste benytter tilgang til internett. Så kan man spørre om det gir nok merverdi til at det er verd det.

[Bytex]

31 millioner brukere var visst ikke enige..lett å være etterpåklok da. Folk bruker jo bare apper fordi det er den mest populære appen. Sikkerhet skal ikke stå på brukerens regning.

Endret 6. desember 2017 av Bytex

[ozone]

 

Jeg kan heller ikke fatte at noen tillater et tastatur tilgang til internett...

 

Det er naturlig at et tastatur med ordliste benytter tilgang til internett. Så kan man spørre om det gir nok merverdi til at det er verd det.

 

 

Ja det tenkte jeg ikke på i farten.

Men hvis man mer eller mindre bruker kun ett språk, kan ikke en slik ordliste være veldig mange megabyte å ha på telefonen.

[Sandormen]

Blir spennende å se på hvilket tidspunkt det brenner hull igjennom Microsofts systemer så vi endelig kan få se hvilke data de miner fra folks pc’er. Sikkert masse godt lesestoff der også.

[Spoki0]

Lurer på hvor hacker.keyboard.appen (bash terminal keys)

prøvde å sende dataene min,,bare anntar den og gjør det ettersom den i likhet med det

"innebygde tastaturet" ! også prøver å kontakte internett rett som det er..

Blokker det med firewall heldigvis.

Tilsynelatende litt urelevannt men , det eneste jeg ikke kan se i firewallen min

på android er hva firewallen sjøl sender av data,, er det noen som har en firewall.app

som lister ALT av trafikk GARANTERT inkludert trafikken fra firewallen sjøl ?

(bruker noroot fw fra greyshirts)

 

Du kan jo logge datatrafikk etter brannmuren din med en egen enhet. Relativt vanlig å sette opp MITM for a logge data enhetene sender ut.

[Xantippe]

Hvorfor har dette firmaet lov til å samle inn alt som skrives på mobilene som bruker dette programmet?

Og hvorfor tror folk, og spesielt kvinner, at alt som gjøres med mobilen er og forblir privat, selv om de sender nakenbiler av seg selv til ukens elsker?

[Simen1]

Det man har gjort er å installere frivillig en keylogger.

To årsaker:

 

- 99% leser ikke brukeravtalene de signerer

- 99% av de resterende enten forstår ikke hva de signerer eller forstår og svelger kamelene på løpende bånd for å få det de lokkes med

 

Verden vil bedras!

[bojangles]

Om dette er et resultat av sløvhet og uvitenhet er det likevel grovt nok til at brukerne av appen bør snu selskapet ryggen for all fremtid. De kan også ta en runde med seg selv å tenke nøye gjennom hvorfor de har gitt appen fullstendige fullmakter. Et tastatur trenger ikke og bør aldri ha slike fullmakter, for da er det mest sannsynlig at appen gjør eller kan gjøre noe den slett ikke bør. Alle bør tenke nøye gjennom hva appene faktisk ber om tilgang til. Og er en i tvil så er det bedre å avvise eller ikke installere appen. 

 

Men denne saken kan jo være ennå verre. Det kan være en bevist handling fra selskapet. En ren spionapp. En keylogger og trojaner som er kamuflert som en app som samler inn mest mulig data fra brukerne. 

 

At selskapet bak appen har valgt å ikke gi kommentarer skjønner jeg godt, der er de nok travelt opptatt med å pakke ned verdisaker, speile servere og forlate det synkende skipet. 

 

Kjeltringer!

Endret 7. desember 2017 av bojangles

[Knut Johansen]

Noroot firewall