Menú de navegaciónMenú
Categorías

La mejor forma de Aprender Programación online y en español www.campusmvp.es

GAMBADAS: El fallo de una app de teclado virtual muestra cuánta información estás regalando sin saberlo

Imagen ornamental - Seguridad teclado virtual

Y es que las bases de datos mal aseguradas las carga el diablo...

Seguramente te suene la conocida aplicación de teclado virtual AI.Type. Está disponible para iOS y Android y permite sustituir al teclado virtual por defecto que trae el sistema operativo, añadiendo un montón de funcionalidades. En la actualidad la utilizan a diario más de 60 millones de personas.

Esta aplicación aparentemente tan inofensiva está obteniendo una tonelada de información sobre ti todo el rato. ¿Cómo lo sabemos? Pues porque la semana pasada unos investigadores de seguridad revelaron que habían encontrado la base de datos completa de la aplicación expuesta on-line y sin protección. Se trata de una base de datos MongoDB con casi 600GB de información sobre más de 31 millones de usuarios 😵

Más allá de la negligencia de la empresa a la hora de asegurar los datos de sus usuarios, lo que sorprende mucho es saber la cantidad de información que obtienen sobre ti sin que seas consciente. Entre los datos recogidos se encuentran:

  • El nombre completo del usuario y su dirección de email
  • Sus ubicaciones
  • Sus direcciones IP
  • Detalles del sistema operativo
  • El número IMEI del terminal
  • El número IMSI que lo identifica en la red móvil
  • Todos los enlaces a sus redes sociales
  • Todas sus fotos
  • Y por si fuera poco: los nombres y números de teléfono de todos sus contactos.

Si usas esta aplicación, eso significa no solo que toda esta información personal sensible sobre ti ha estado expuesta públicamente en Internet (un fallo grave, pero puntual), sino que confirma con meridiana claridad el hecho de que para poder utilizar gratis una aplicación a priori tan inocua como un "simple" teclado, estás regalando una ingente cantidad de información sobre ti, y sobre gente que conoces que ni siquiera han decidido utilizarla. Y puede que la empresa que la recoge no haga un uso adecuado de la misma.

La empresa ha manifestado que la base de datos contenía únicamente "información secundaria, sobre todo estadísticas" y de tan solo "aproximadamente la mitad de nuestros usuarios". Es decir, imagina qué datos realmente están recogiendo.

Ofertas para partners de Ai.Type

Es evidente que para poner en marcha una aplicación como un teclado personalizado es necesario obtener cierta información sobre los usuarios, pero ¿realmente es necesaria tanta? Seguro que no.

La empresa ha decidido cambiar el nombre a la aplicación, que pasará a llamarse Matching Mobile Keyboard, no sabemos si a consecuencia de lo que ha ocurrido, que le ha dado una imagen nefasta.

Este tipo de incidentes, cada vez más frecuentes, deben hacernos reflexionar como usuarios en qué estamos entregando a cambio de un pequeño servicio gratuito y a quién.

Y como desarrolladores, viéndolo desde el otro lado, hay que considerar qué datos debemos realmente obtener, con qué objetivos y ser extremadamente cuidadosos con la seguridad.

campusMVP campusMVP es la mejor forma de aprender a programar online y en español. En nuestros cursos solamente encontrarás contenidos propios de alta calidad (teoría+vídeos+prácticas) creados y tutelados por los principales expertos del sector. Nosotros vamos mucho más allá de una simple colección de vídeos colgados en Internet porque nuestro principal objetivo es que tú aprendas. Ver todos los posts de campusMVP
Archivado en:

Boletín campusMVP.es

Solo cosas útiles. Una vez al mes.

🚀 Únete a miles de desarrolladores

DATE DE ALTA

x No me interesa | x Ya soy suscriptor

La mejor formación online para desarrolladores como tú

Comentarios (2) -

Javier Estrella
Javier Estrella

Leyendo el articulo, me ha surgido una duda respecto a los datos que ofrecemos. Si no recuerdo mal la mayoría de datos que comentas hay que indicarle cuando arranca la aplicación los datos que vamos a requerir y dependiendo que datos sean el sistema operativo requiere un consentimiento del usuario para proseguir.

Creo que no es tan sencillo como comentas que te roben datos. Aunque puede que me equivoque.

Saludos.

Responder

José Manuel Alarcón
José Manuel Alarcón

Hola Javier:

Gracias por comentar.

En efecto, las apps (en Android al menos) te piden que aceptes ciertos permisos antes de continuar. Dependiendo de la versión del S.O. estos permisos son implícitos cuando instalas, y en versiones más recientes te los va pidiendo uno a uno la primera vez que la ejecutas.

Sin embargo hay que considerar varias cosas:

1.- Un gran porcentaje de usuarios aceptan sistemáticamente, sin saber qué hacen en realidad. De ahí la importancia de artículos como este (y muchos otros) para difundir la necesidad de ser consciente de estas cosas.
2.- Algunos tipos de aplicaciones, como es el caso de este teclado, pueden necesitar lícitamente acceso a ciertos permisos y tipos de información, y el usuario acepta porque confía en el fabricante. Pero éste puede hacer un mal uso de esa información, o recabar sin mala intención más de la que necesita y luego meter la pata a lo grande como ha pasado en este caso.
3.- Muchos de los datos que se recaban no necesitan que se le otorgue a la aplicación permiso alguno, y son igualmente sensibles.
4.- El objeto de algunas aplicaciones es precisamente mover ciertos tipos de informaciones sobre ti, como por ejemplo Facebook, Twitter y en general las redes sociales. No es que les des permiso para nada: es que va implícito en la actividad. Mira por ejemplo esto (y tiembla): http://dataselfie.it

¡Un saludo!

Responder

Agregar comentario

Los datos anteriores se utilizarán exclusivamente para permitirte hacer el comentario y, si lo seleccionas, notificarte de nuevos comentarios en este artículo, pero no se procesarán ni se utilizarán para ningún otro propósito. Lee nuestra política de privacidad.