Denn die app hat Euere Eingaben mitgeloggt, massenhaft Daten in eine Datenbank der Herstellers hochgeladen, und diese Datenbank wiederum war wegen einer Sicherheitslücke eine Zeitlang offen für Hacker. Damit konten auch Passwörter von 31 Millionen Nutzern ausgelesen werden.
Folgendes meldet das Bundesamt für Sicherheit (BSI) am 8.12.2017
- Tastatur-App AiType: Eingaben mitgelesen und online gespeichert
Sensible Daten von rund 32 Millionen Nutzern der populären Tastatur-App AiType waren öffentlich zugänglich und sind mit hoher Wahrscheinlichkeit abgeflossen.
Die App, die für Android und iOS zur Verfügung steht, hat Tastatureingaben mitgelesen und sie unverschlüsselt in einer Datenbank gespeichert. Daneben wurden offenbar weitere persönliche Daten wie Kreditkarten- und Telefonnummern, Klarname und E-Mail-Adresse sowie die Kontaktdaten aus Adressbüchern ausgelesen und ebenfalls in die schlecht abgesicherte Datenbank hochgeladen.
Quelle: Bürger-CERT-Newsletter 25 vom 8.12.2017 des Bundesamts für Sicherheit im Internet; online-Version: https://www.bsi-fuer-buerger.de/SharedDocs/Newsletter/DE/BSIFB/BuergerCERT-Newsletter/25_Sicher-Informiert_08-12-2017.html?nn=6775642#doc10284754bodyText4
Da die abgeflossenen Nutzerdaten im Klartext sowie in sensiblen Kombinationen – etwa Nutzername und Passwort – in der Datenbank hinterlegt waren, empfiehlt das BSI Nutzerinnen und Nutzern zu prüfen, ob sie die App weiterhin verwenden wollen. Ändern Sie vorsorglich alle Passwörter für Kundenkonten, Online-Banking und weitere Anwendungen, die Sie über das betroffene Gerät bedient haben und prüfen Sie, ob sie schützenswerte oder sensible Inhalte mit Hilfe dieser Tastatur-App eingetippt haben.
Grundsätzlich gilt, bevor eine App auf dem Smartphone installiert wird, sollte immer genau geprüft werden, worauf die App zugreifen möchte, bevor Sie den Nutzerbedingungen zustimmen. Weitere Hinweise zu Smartphone- und App-Sicherheit finden Sie auf BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/BasisschutzGeraet/EinrichtungMobileGeraete/EinrichtungMobileGeraete_node.html
Ein etwas gründlicherer Artikel von Heise Security:
