Чому клавіатура Samsung Galaxy S3 не може збирати паролі?

22

Коли я вмикаю метод введення (додаток для клавіатури) на Nexus, я бачу таке підтвердження:

Цей метод введення може зібрати весь текст, який ви вводите, включаючи особисті дані, такі як паролі та номери кредитних карт. Він надходить із програми Шосе. Використовувати цей метод введення?

Я розумію це попередження. Через те, як працює метод введення, він має можливість збирати все, що я набираю, і я повинен довіряти автору, щоб не зловживати цією здатністю. Але коли я вмикаю метод введення на своєму Samsung Galaxy S3 (і, можливо, на інших пристроях Samsung; я не пробував), я отримую інше повідомлення (мій акцент):

Цей метод може збирати весь текст, який ви вводите, крім паролів , включаючи особисті дані та номери кредитних карт. Він надходить із програми Шосе. Використовувати все-таки?

Я перевірив, як ввести пароль у веб-форму та встановити пароль пристрою. В обох випадках він все ще використовує метод (сторонній) введення, який я вибрав для введення пароля. То чому Samsung стверджує, що метод введення не може збирати паролі? Вони роблять щось неймовірно розумне у своїй версії Android, чи просто говорять дурниці?

security  samsung  input-methods 
Ден Хулм
джерело
Я здогадуюсь, це останнє, або його варіант: перепишіть їх заяву на те, що "вона не збиратиме паролі" може бути правдоподібною. Це не може бути брехнею IMHO, хоч і важко довести (окрім підрахунку прикладу того, що користувач пише текст на кшталт "мій пароль foobar", як же програма це визнає?). Як Samsung може бути таким впевненим, що завжди знає, куди вводиться пароль?
Izzy
2
ТВН, я думаю, що це означає , що ви не можете використовувати третю стороною клавіатуру для введення екрану блокування пароля при розблокуванні екрану. Але якщо вона все ж використовує вибрану клавіатуру для встановлення пароля, це не є перевагою для безпеки.
Dan Hulme
1
Просто не чесно вважати, що клавіатура не має доступу до паролів, які ви вводите за її допомогою. Це сама суперечність. Додаток на клавіатурі має доступ до всього, що ви вводите (якщо це виключатиме паролі, ви не можете їх вводити), і таким чином можна збирати все. Якщо це дійсно зробити це, це інше питання , не вписується в фразування. Я не кажу, що вони навмисно висловили "помилкову претензію", але це просто не може бути правдою. Правильно було б "може зібрати весь текст, який ви вводите, але можливо / сподіваємось / ... виключає ...". Для сторонніх додатків вони не можуть бути впевнені. Напишіть одне, звинувачуйте їх :)
Izzy

Відповіді:

1

Як програміст мені це цікаво. Поля пароля можна (і зазвичай) обробляти інакше, ніж звичайні текстові поля. Зважаючи на те, що Android є відкритим кодом, я думаю, можливо, що Samsung хоча б намагалася включити код, який запобігає передачі полем пароля інформації, введеної в нього, до програми клавіатури, але, як і інші, заявив, що я скептично налаштований.

Для того, щоб програма клавіатури збирала ваші дані, вона повинна включати додатковий крок збору вашого вводу, зберігання його десь, навіть якщо це лише тимчасово в змінній екземпляра, а потім надсилання їх третій стороні. Мені було б цікаво почути, що Samsung каже про це і як вони нібито перешкоджають цьому, але я гадаю, що це відповідь, яку ми, швидше за все, не отримаємо.

Роан
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.