Dlaczego klawiatura Samsung Galaxy S3 nie może zbierać haseł?

22

Po włączeniu metody wprowadzania (aplikacji klawiatury) na urządzeniu Nexus pojawia się następujący komunikat potwierdzający:

Ta metoda wprowadzania może być w stanie zebrać cały wpisany tekst, w tym dane osobowe, takie jak hasła i numery kart kredytowych. Pochodzi z aplikacji Autostrada. Używać tej metody wprowadzania?

Rozumiem to ostrzeżenie. Ze względu na sposób, w jaki działa metoda wprowadzania, ma ona możliwość zbierania wszystkiego, co wpisuję, i muszę ufać autorowi, że nie nadużyje tej umiejętności. Ale kiedy włączę metodę wprowadzania danych na moim Samsungu Galaxy S3 (i może na innych urządzeniach Samsung; nie próbowałem), pojawia się inny komunikat (moje podkreślenie):

Ta metoda pozwala zebrać cały wprowadzony tekst, z wyjątkiem haseł , w tym danych osobowych i numerów kart kredytowych. Pochodzi z aplikacji Autostrada. W każdym razie użyć?

Sprawdziłem wpisanie hasła do formularza internetowego i ustawienie hasła urządzenia. W obu przypadkach nadal korzysta z metody wprowadzania (innej firmy), którą wybrałem, aby wprowadzić hasło. Dlaczego więc Samsung twierdzi, że metoda wprowadzania nie może zbierać haseł? Czy robią coś niesamowicie sprytnego w swojej wersji Androida, czy tylko gadają bzdury?

security samsung input-methods Dan Hulme
źródło
Wydaje mi się, że jest to ten drugi wariant lub jego wariant: przepisać ich stwierdzenie na „nie będzie zbierać haseł” może być wiarygodne. Nie może to być kłamstwo IMHO, choć trudne do udowodnienia (oprócz liczenia przykładu użytkownika piszącego tekst w stylu „moje hasło to foobar”, ponieważ jak to rozpozna aplikacja?). Jak Samsung może być pewny, że zawsze wie, gdzie wpisane jest hasło?
Izzy
2
TBH, zgaduję, że oznacza to, że nie można użyć klawiatury innej firmy do wprowadzenia hasła ekranu blokady podczas odblokowywania ekranu. Ale jeśli nadal używa wybranej klawiatury do ustawienia hasła, nie ma to żadnego bezpieczeństwa.
Dan Hulme,
1
Po prostu nie jest uczciwe sugerowanie, że klawiatura nie ma dostępu do haseł, które wpisujesz za jej pomocą. To sprzeczność sama w sobie. Aplikacja na klawiaturze ma dostęp do wszystkiego, co wpisujesz (jeśli to wykluczałoby hasła, nie możesz ich wpisać), a zatem może zbierać wszystko. Jeśli to ma zrobić, to inna kwestia nie zamontowaniem frazowanie. Nie twierdzę, że celowo złożyli „fałszywe roszczenie”, ale po prostu nie może to być prawda. Prawidłowe byłoby „można zebrać cały wpisany tekst, ale prawdopodobnie / mam nadzieję /… wykluczy ...”. W przypadku aplikacji innych firm nie mogą być tego pewni. Napisz jeden, obwiniaj ich :)
Izzy

Odpowiedzi:

1

Jako programista uważam to za interesujące. Pola haseł mogą (i zwykle są) traktowane inaczej niż zwykłe pola tekstowe. Biorąc pod uwagę, że Android jest oprogramowaniem typu open source, wydaje mi się możliwe, że Samsung przynajmniej próbował dołączyć kod, który zapobiega przekazywaniu przez pole hasła wpisanych w nim informacji z powrotem do aplikacji klawiatury, ale podobnie jak inni stwierdzili, że jestem sceptyczny.

Aby aplikacja klawiatury mogła zbierać dane, musi obejmować dodatkowy krok przechwytywania danych wejściowych, przechowywania ich gdzieś, nawet jeśli jest to tylko tymczasowo zmienna instancji, a następnie wysyłania ich do strony trzeciej. Chciałbym usłyszeć, co Samsung mówi na ten temat i jak rzekomo temu zapobiec, ale zgaduję, że to odpowiedź, której prawdopodobnie nie dostaniemy.

Deresz
źródło