¿Por qué un teclado en el Samsung Galaxy S3 no puede recopilar contraseñas?

22

Cuando habilito un método de entrada (una aplicación de teclado) en un dispositivo Nexus, veo el siguiente mensaje de confirmación:

Este método de entrada puede recopilar todo el texto que escriba, incluidos datos personales como contraseñas y números de tarjetas de crédito. Proviene de la aplicación Highway. Utiliza este método de entrada?

Entiendo esta advertencia. Debido a la forma en que funciona un método de entrada, tiene la capacidad de recopilar todo lo que escribo, y tengo que confiar en que el autor no abusará de esta capacidad. Pero cuando habilito un método de entrada en mi Samsung Galaxy S3 (y tal vez en otros dispositivos Samsung; no lo he probado), recibo un mensaje diferente (mi énfasis):

Este método puede recopilar todo el texto que ingrese, excepto las contraseñas , incluidos los datos personales y los números de tarjeta de crédito. Proviene de la aplicación Highway. Uso de todos modos?

Verifiqué ingresar una contraseña en un formulario web y configurar la contraseña del dispositivo. En ambos casos, todavía utiliza el método de entrada (de terceros) que elijo para ingresar la contraseña. Entonces, ¿por qué Samsung afirma que el método de entrada no puede recopilar contraseñas? ¿Están haciendo algo increíblemente inteligente en su versión de Android, o simplemente están diciendo tonterías?

security samsung input-methods Dan Hulme
fuente
Supongo que es el último, o una variante: reescribir su declaración a " no recopilará contraseñas" podría ser creíble. No puede ser una mentira en mi humilde opinión, aunque es difícil de probar (excepto contar el ejemplo del usuario que escribe un texto como "mi contraseña es foobar", ya que ¿cómo reconocerá la aplicación eso?). ¿Cómo puede estar seguro Samsung de saber siempre dónde se ingresa una contraseña?
Izzy
2
TBH, supongo que significa que no puede usar un teclado de terceros para ingresar la contraseña de la pantalla de bloqueo al desbloquear la pantalla. Pero si aún usa el teclado seleccionado para establecer la contraseña, no hay beneficio de seguridad.
Dan Hulme
1
Simplemente no es honesto sugerir que un teclado no tiene acceso a las contraseñas que escribe al usarlo. Esa es una contradicción en sí misma. La aplicación de teclado tiene acceso a todo lo que escribe (si eso excluiría las contraseñas, no podría escribirlas) y, por lo tanto, puede recopilar todo. Si lo hace , es un problema diferente que no se ajusta al fraseo. No digo que hayan hecho intencionalmente un "reclamo falso", pero simplemente no puede ser cierto. Correcto sería "puede recopilar todo el texto que ingrese, pero posiblemente / con suerte / ... excluirá ...". Para aplicaciones de terceros, no pueden estar seguros. Escriba uno, culpe a ellos :)
Izzy

Respuestas:

1

Como programador, esto me parece interesante. Los campos de contraseña se pueden (y generalmente se tratan) de manera diferente a los cuadros de texto normales. Dado que Android es de código abierto, supongo que es posible que Samsung al menos haya intentado incluir código que evite que un campo de contraseña pase la información ingresada en la aplicación del teclado, pero como otros han dicho, soy escéptico.

Para que una aplicación de teclado recopile sus datos, debe incluir el paso adicional de capturar su entrada, almacenarla en algún lugar, incluso si es solo temporalmente en una variable de instancia, y luego enviarla a un tercero. Me interesaría escuchar lo que Samsung dice sobre esto y cómo supuestamente lo previenen, pero supongo que es una respuesta que probablemente no obtendremos.

Ruano
fuente