ai.typeでは端末に保存されている全データへのフルアクセスを求められ、連絡先から入力内容まであらゆる情報が収集されていたと思われる。
AndroidとiOS向けのキーボードアプリ「ai.type」のユーザー3000万人あまりの個人情報が、誰にでもアクセスできる状態でインターネットに露呈されていたことが分かった。米MacKeeper傘下のKromtech Security Centerが12月5日のブログで伝えた。
それによると、ai.typeはイスラエルの新興企業が提供するキーボードアプリで、Android版はGoogle Playストアから約4000万回もダウンロードされ、ユーザーは増え続けている。
ところが、ai.typeのものと思われるMongoDBの設定ミスが原因で、ai.typeのユーザー3129万3959人の個人情報が、インターネット経由で誰にでもアクセスできる状態になっていたという。問題のデータベースには、電話番号や持ち主のフルネーム、使用言語、居住国、Facebookなどソーシャルメディアのプロフィール関連情報、連絡先情報など、膨大な量の情報が記録されていた。
研究者がai.typeをiPhoneにインストールして調べたところ、同アプリではキーボードの全データを含めて、端末に保存されている全てのデータへのフルアクセスを求められることが分かった。流出したデータベースの内容から判断すると、連絡先から入力内容まであらゆる情報が収集されていたらしいと推測している。
KromtechはMongoDBについても、「デフォルトの設定で、データベースの閲覧や情報のダウンロード、さらには保存された情報の消去などが、インターネット接続さえあれば誰にでもできてしまうという欠陥がある」と解説する。
「理論的には、ai.typeの仮想キーボードをダウンロードしてインストールした人は誰であれ、自分のスマートフォンのデータがオンラインで露呈されていた可能性がある」とKromtechは述べ、こうした個人情報は詐欺やなりすましなどの犯罪に利用される恐れがあると指摘。
「デバイスに対するフルアクセス権限を取得する製品やサービスを無料、あるいは割引価格で入手するのと引き換えに、コンシューマーが自分のデータを提供する価値は本当にあるのかどうかという疑問を改めて生じさせる」と警鐘を鳴らしている。
Copyright © ITmedia, Inc. All Rights Reserved.