Este teclado Android guarda más información privada de la que imaginas


ai.type, uno de los teclados Android más conocidos, sufre un fallo de seguridad en su base de datos que deja al descubierto toda la información de los usuarios.

El aviso de Android cuando cambiamos del teclado de serie a uno descargado no deja lugar a dudas en cuanto a las capacidades de este software: puede leer todo lo que escribimos en el smartphone. Además, y siempre según las funciones del teclado, es capaz de ver los contactos o acceder al almacenamiento, por ejemplo. ¿Qué hacen las aplicaciones con esto? Pensarás que solo lo utilizan para darte un mejor servicio en el móvil, pero la realidad es que muchos teclados almacenan la información en sus servidores. Más información de la que deberían.

Debo dejar claro que no todos los teclados de la Google Play harán uso de los permisos de acceso más dudosos ni tampoco subirán todos tus datos a los servidores, pero lo ocurrido con ai.type supone un toque de atención para que nos tomemos más en serio al teclado que usamos de manera habitual. Porque se ha descubierto que se extralimitaba en la información que recopilaban sus servidores.

Un fallo en la base de datos deja la información privada de los usuarios al descubierto


El fallo fue comunicado ayer por el centro de seguridad Kromtech: las bases de datos de ai.type permitían su acceso por parte de cualquier persona debido a una mala configuración de mongoDB, un conocido sistema de bases de datos que se utiliza en numerosos servidores. Debido a esa mala configuración, cualquiera podía acceder a los datos de más de 30 millones de usuarios del teclado, tanto en su versión gratuita como en la de pago. La sorpresa viene cuando descubrimos qué datos se guardaban.

ai.type registra una ingente cantidad de datos de sus usuarios que se almacenan en sus bases de datos. Desconocemos para qué los utilizan, pero no sería descabellado pensar en el intercambio con otras empresas dadas las características de la información recopilada. Entre toda esa información, el teclado Android guardaba:

  • Nombre completo de los usuarios.
  • Agenda de los usuarios.
  • Número de teléfono de los usuarios.
  • Direcciones de email de la agenda del usuario.
  • Localización.
  • Número de veces que se ha utilizado la aplicación.
  • El IMEI y el IMSI del dispositivo.
  • Modelo y fabricante del dispositivo.
  • Resolución de la pantalla.
  • Direcciones IP del usuario.
  • Proveedor de Internet y operadora.
  • Versión de Android del usuario.

Todos estos datos recopilados por un teclado que, en teoría, solo sirve para facilitar la escritura. Con un agravante: ai.type dispone de versión gratuita y versión de pago por casi 5 euros; y ambas se extralimitaban en el guardado de la información en los servidores de la app. Eso sí: el teclado recopilaba más información privada de los usuarios gratuitos que de los “premium”. Es un consuelo.

¿Es tu teclado realmente seguro?


Un teclado Android es una aplicación que maneja una notable cantidad de información privada. Textos, direcciones de email, contraseña, números de tarjeta… Es imprescindible que elijas bien tu teclado en el caso de que cambies el que te viene de serie. Y no descargues uno cualquiera solo porque promete temas, efectos o emojis.


ai.type asegura que protegerá mejor la base de datos de sus usuarios para así evitar los riesgos de seguridad. No ha dicho nada de la cantidad enorme de información que guardaba ni qué rendimiento le saca a esos datos privados.

0 comentarios: