ai.type Benutzer anwesend?
Mittwoch, 6.12.2017, 15:15 > daMax
Herrlich, dieses Clouddingens:
Der Entwickler der Keyboard-App ai.type hat eine 577 GByte umfassende MongoDB-Datenbank nicht abgesichert, sodass jeder darauf zugreifen konnte. Darin stehen unter anderem persönliche Daten von 31.293.959 Nutzern, welche sich die für Android- und iOS-Geräte verfügbare App ai.type Keyboard installiert haben. Darauf sind Sicherheitsforscher von MacKeeper gestoßen. Die App ist weit verbreitet – Google Play weist rund 40 Millionen Downloads auf.
Was zur Hölle fällt diesem Mongo auch ein, sich sämtliche Eingaben in einer DB zu merken? Hä? Das ist doch... ruhig bleiben, Max, denk' an den Menschen, den du neulich nach einem Herzinfarkt im Krankenhaus besucht hast.
Und jetzt nochmal für alle zum Mitschreiben:
Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.
Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.
Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.
Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.
Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.
Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.
Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.
Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.
Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.
Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.
Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.
Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.
Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.
(Das Bild gibt's bei fsfe als Sticker und stammt von Markus Meier [CC-BY-SA])
Artikel als RSS
und wofür nochma genau brauchts ne keyboard-app ausser der android/iOS-eigenen?!? schnall ich alles nich...
@DasKleineTeilchen: najaaa, es gibt da schon coolere Ideen, z.B. fandi ch so Dinger wie Swype eigentlich cool, wenn nur eben diese Berechtigungsorgie nicht wäre.
Dafuq?! O.o
@da]v[ax:
Fieser Trick. Swype heißt in Wirklichkeit Kaa:
https://m.youtube.com/watch?v=W2l2kNQhtlQ
Einige der Berechtigungen haben nen legitimen Zweck: Kontakte z.B. damit die Namen korrekt vorgeschlagen werden können, Record Audio für die Spracheingabe "Dragon", view Wi-Fi connections um Wort Listen nur per wLan runter zu laden usw. Die Krux ist halt, dass dem Entwickler vertraut werden muss, dass das Programm wirklich nur das macht was angegeben wurde.
Bei AI.Type war das Problem wohl eine nicht geschützte Datenbank, also kein Passwort, keine Verschlüsselung. Das ist schon ultra blöd. Und ich komme wieder auf "Vertrauen müssen" zurück. Wer glaubt denn, dass eine zentrale Datenbank derart ungeschützt aufgesetzt wird? Kann man sich gar nicht ausmalen!
@OldFart:
@MCBuhl: nee, es gibt ü-ber-haupt keinen Grund, die Eingaben des Users in einer Datenbank zu speichern. Es genügt, wenn die Sachen auf dem Handy gespeichert werden.
@MCBuhl: dass die Datenbank unzureichend geschützt war, ist nur die Spitze des Eisbergs. Der Skandal ist eigentlich, dass der Entwickler überhaupt Daten abzweigt, wie @daMax schon richtig angemerkt hat. Eine Tastatur hat nicht mit dem Internet verbunden zu sein, Punkt Schluss aus. Das Problem liegt auch dort begraben, wo Software ohne Quelltext ausgeliefert wird. Ich weiß, auch quelloffene Software kann Scheiße bauen. Aber wenn ein Entwickler mir nicht ansatzweise vertraut, warum sollte ich dann überhaupt in Erwägung ziehen, seinen Kackscheiß an meine privatesten Daten zu lassen? Genau aus diesem Grund nutze ich nach Möglichkeit freie Software: Die telefoniert idR. nicht nach hause und wenn doch, kann ich das umprogrammieren und damit unterbinden. Und ich weiß, ich weiß: Natürlich schaut der Großteil der NutzerInnen nicht in den Quelltext. Darum geht es auch gar nicht. Es geht um die Möglichkeit, jenes tun zu können, und die Erlaubnis, ihn zu verändern und die Änderungen mit der interessierten Community zu teilen.
Den Cloudwahn will ich hier jetzt gar nicht vertiefen, dazu ist hier glaube ich schon genug gesagt worden: https://blog.todamax.net/wp-content/uploads/2016/12/there-is-no-cloud.png
lesen und verstehen...
ad 1) es ging um Berechtigungen - da kann es legitime Gründe geben
ad 2) ob ich will, dass etwas auf einem entfernten Rechner (aka "cloud") gespeichert wird oder nicht, ist das eine - aber der Entwickler der App soll das in die Beschreibung rein schreiben, dann kann ich das selber entscheiden, dennoch muss ich ihm erstmal vertrauen (ja, ich kann die Netzwerkverbindungen mitlesen und ggf. blockieren). Bei Swype um beim Beispiel zu bleiben gibt es eine Backupfunktion, die aber per Opt-in eingeschaltet werden muss
ad 3) bei AI.type war das mit der offen zugänglichen Datenbank nun mal das Problem. Und in der Beschreibng steht nichts von synchronisieren oder hochladen, was das Problem nochmal verschärft.
Letztlich hat @daMax vollkommen recht: zunächst mal hat die Datenbank auf dem Händi zu sein. Alles darüber hinaus möchte ich selbst entscheiden dürfen.
Ähh, Muss Max da voll recht geben.
Der einzig "legitime" Grund, alle Daten in die Cloud zu schieben ist die Monetarisierung. Ansonsten müsste man annehmen, dass sich der Entwickler vielleicht interessante Login Kombinationen abgreifen möchte.
Im schlimmsten Fall hat er jetzt ein Passwort vor seine MongoDb gesetzt und dieses "ungeschützt" in die App geschrieben. Da bekommt es jeder mit interesse auch wieder raus....