Por que um teclado no Samsung Galaxy S3 não pode coletar senhas?

22

Quando ativo um método de entrada (um aplicativo de teclado) em um dispositivo Nexus, vejo a seguinte mensagem de confirmação:

Esse método de entrada pode coletar todo o texto digitado, incluindo dados pessoais, como senhas e números de cartão de crédito. Vem do aplicativo Highway. Use este método de entrada?

Eu entendo esse aviso. Devido à maneira como um método de entrada funciona, ele tem a capacidade de coletar tudo o que digito e tenho que confiar no autor para não abusar dessa capacidade. Mas quando ativo um método de entrada no meu Samsung Galaxy S3 (e talvez em outros dispositivos Samsung; ainda não tentei), recebo uma mensagem diferente (minha ênfase):

Este método pode coletar todo o texto digitado, exceto senhas , incluindo dados pessoais e números de cartão de crédito. Vem do aplicativo Highway. Usar assim mesmo?

Verifiquei inserindo uma senha em um formulário da Web e definindo a senha do dispositivo. Nos dois casos, ele ainda usa o método de entrada (de terceiros) que escolho para inserir a senha. Então, por que a Samsung afirma que o método de entrada não pode coletar senhas? Eles estão fazendo algo incrivelmente inteligente em sua versão do Android, ou estão apenas falando bobagens?

security samsung input-methods Dan Hulme
fonte
Eu acho que é o último, ou uma variante dele: reescrever sua declaração para " não coletará senhas" pode ser crível. Ele não pode é um IMHO mentira, embora difícil de provar (exceto contando o exemplo do usuário escrever um texto como "minha senha é foobar", como a forma como deve o aplicativo reconhece isso?). Como a Samsung pode ter certeza de sempre saber onde uma senha é digitada?
Izzy
2
TBH, meu palpite é que isso significa que você não pode usar um teclado de terceiros para inserir a senha da tela de bloqueio ao desbloquear a tela. Mas se ele ainda usar o teclado selecionado para definir a senha, isso não é um benefício de segurança.
Dan Hulme
1
Simplesmente não é honesto sugerir que um teclado não tem acesso às senhas digitadas usando-o. Isso é uma contradição em si. O aplicativo do teclado tem acesso a tudo que você digita (se isso excluir senhas, você não pode digitá-las) e, portanto, pode coletar tudo. Se isso acontecer , é uma questão diferente que não se encaixa no fraseado. Não digo que eles tenham intencionalmente colocado uma "alegação falsa", mas simplesmente não pode ser verdade. Correto seria "pode ​​coletar todo o texto digitado, mas possivelmente / espero / ... excluir ...". Para aplicativos de terceiros, eles não podem ter certeza. Escreva um, culpe-os :) #
228 Izzy

Respostas:

1

Como programador, acho isso interessante. Os campos de senha podem ser (e geralmente são) tratados de maneira diferente das caixas de texto normais. Dado que o Android é de código aberto, acho que é possível que a Samsung tenha ao menos tentado incluir código que impeça que um campo de senha passe informações digitadas nele de volta para o aplicativo de teclado, mas, como outros declararam, sou cético.

Para que um aplicativo de teclado colete seus dados, é necessário incluir a etapa extra de capturar sua entrada, armazená-la em algum lugar, mesmo que apenas temporariamente em uma variável de instância, e enviá-la a terceiros. Gostaria de ouvir o que a Samsung diz sobre isso e como eles supostamente o impedem, mas acho que é uma resposta que provavelmente não obteremos.

Roan
fonte