背景
在数字化时代,有一句话非常流行:如果你不付费,那么你就不是消费者,而是产品。多数用户并不知道在智能手机上下载app会导致多少个人信息遭收集。相信我,收集的数据比你想象的要多得多。如今很多app开发人员的行为都是不负责任的,能说明这个问题的最佳例子就是流行输入法泄露用户个人数据的事件。
无密码保护,任何人可下载3100万用户详情
这款手机输入法是Ai.type,Kromtech安全中心的研究人员发现这款app不慎将3100万用户的个人数据暴露在网上。任何人无需密码就可下载这些数据,Ai.type成立于2010年,是一款针对手机和平板的可自定义化的输入法应用,它的用户数量超过4000万且遍布全球。
这家位于以色列特拉维夫的创业公司Ai.type所拥有的一个MongoDB数据库因配置错误,导致大小为577 GB的数据库全部暴露在网上,其中包含的用户敏感信息数量令人吃惊,而这些信息并非app运行所需要的信息,“他们似乎在收集用户的所有信息,从通讯录到键击不一而足”。
收集的个人数据极其详细
这份被泄数据库内容包括3100多万用户的详细信息:
1、姓名全名、电话号码和邮件地址
2、设备名称、屏幕分辨率和机型详情
3、安卓版本、IMSI号码和IMEI号码
4、移动网络名称、居住地所在国、甚至包括用户使用的语言
5、IP地址(如有)以及GPS位置(经纬度)
6、跟社交媒体资料相关的链接和信息,包括出生日期、邮件、照片等
研究人员指出,“当安装Ai.Type时发现用户必须允许该app对测试机iPhone上的所有数据拥有‘完全访问权限’,包括所有键盘数据。”这让研究人员非常惊讶,另外,被泄数据库还包含用户的通讯录,包括联系人的姓名和电话号码,而且已经累计有3.73亿份记录!
研究人员表示,数据库还收集很多其它数据,比如不同地区最流行的用户谷歌查询数据、每天的平均信息量、每条信息的字数、用户年龄、每日文字量、每段文字量等等。为何一款输入法应用需要收集如此多的个人数据?
安全意识是最佳防御措施
最近爆发的多起数据泄露事件也教会我们认清一个事实:如果自己的个人数据落入网络犯罪分子之手,那么我们易受攻击的期限是永远。因此,自我保护的最佳防御措施一直都是:具备安全意识。