Perché una tastiera del Samsung Galaxy S3 non è in grado di raccogliere password?

22

Quando abilito un metodo di input (un'app per tastiera) su un dispositivo Nexus, vedo il seguente messaggio di conferma:

Questo metodo di input potrebbe essere in grado di raccogliere tutto il testo digitato, inclusi dati personali come password e numeri di carta di credito. Viene dall'app Highway. Utilizzare questo metodo di input?

Capisco questo avvertimento. A causa del modo in cui funziona un metodo di input, ha la capacità di raccogliere tutto ciò che scrivo e devo fidarmi dell'autore di non abusare di questa capacità. Ma quando abilito un metodo di input sul mio Samsung Galaxy S3 (e forse altri dispositivi Samsung; non ho provato), ricevo un messaggio diverso (la mia enfasi):

Questo metodo può raccogliere tutto il testo inserito, tranne le password , inclusi i dati personali e i numeri di carta di credito. Viene dall'app Highway. Usi comunque?

Ho verificato l'immissione di una password in un modulo Web e l'impostazione della password del dispositivo. In entrambi i casi, utilizza ancora il metodo di input (di terze parti) che ho scelto di inserire la password. Quindi perché Samsung afferma che il metodo di input non è in grado di raccogliere password? Stanno facendo qualcosa di incredibilmente intelligente nella loro versione di Android o stanno solo dicendo cose senza senso?

security  samsung  input-methods 
Dan Hulme
fonte
Immagino che sia la seconda, o una sua variante: riscrivere la loro affermazione su " non raccoglierà le password" potrebbe essere credibile. E non si può è un IMHO menzogna, anche se difficile da dimostrare (ad eccezione contando l'esempio che l'utente scrive un testo come "la mia password è foobar", come come potrà l'applicazione riconoscere che?). Come può Samsung essere sicuro di sapere sempre dove viene inserita una password?
Izzy
2
TBH, suppongo che significhi che non è possibile utilizzare una tastiera di terze parti per inserire la password della schermata di blocco quando si sblocca lo schermo. Ma se utilizza ancora la tastiera selezionata per impostare la password, non è un vantaggio per la sicurezza.
Dan Hulme,
1
Semplicemente non è onesto suggerire che una tastiera non abbia accesso alle password digitate utilizzandola. Questa è una contraddizione in sé. L'app per tastiera ha accesso a tutto ciò che digiti (se ciò escludesse le password, non potresti digitarle) e quindi può raccogliere tutto. Se lo fa , è un problema diverso che non si adatta al fraseggio. Non dico che abbiano intenzionalmente posto una "falsa pretesa", ma semplicemente non può essere vero. Corretto sarebbe "può raccogliere tutto il testo che inserisci, ma eventualmente / si spera / ... esclude ...". Per le app di terze parti, non possono esserne sicuri. Scrivi uno, incolpali :)
Izzy

Risposte:

1

Come programmatore lo trovo interessante. I campi password possono essere (e generalmente vengono) trattati in modo diverso rispetto alle normali caselle di testo. Dato che Android è open source credo sia possibile che Samsung abbia almeno tentato di includere un codice che impedisce a un campo password di passare informazioni digitate al suo interno all'applicazione tastiera, ma come altri hanno affermato che sono scettico.

Affinché un'applicazione da tastiera raccolga i tuoi dati, deve includere il passaggio aggiuntivo di acquisire l'input, archiviarlo da qualche parte, anche se è solo temporaneamente in una variabile di istanza e quindi inviarlo a una terza parte. Sarei interessato a sapere cosa dice Samsung su questo e come presumibilmente lo impediscono, ma immagino che sia una risposta che non avremo probabilmente.

Roano
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.