Warum kann eine Tastatur auf dem Samsung Galaxy S3 keine Passwörter erfassen?

Wenn ich eine Eingabemethode (eine Tastatur-App) auf einem Nexus-Gerät aktiviere, wird die folgende Bestätigungsmeldung angezeigt:

Diese Eingabemethode kann möglicherweise den gesamten von Ihnen eingegebenen Text erfassen, einschließlich persönlicher Daten wie Kennwörter und Kreditkartennummern. Es kommt von der App Highway. Verwenden Sie diese Eingabemethode?

Ich verstehe diese Warnung. Aufgrund der Art und Weise, wie eine Eingabemethode funktioniert, kann sie alle Eingaben erfassen, und ich muss dem Autor vertrauen, dass er diese Fähigkeit nicht missbraucht. Wenn ich jedoch eine Eingabemethode für mein Samsung Galaxy S3 (und möglicherweise für andere Samsung-Geräte, die ich noch nicht ausprobiert habe) aktiviere, wird eine andere Meldung angezeigt (mein Schwerpunkt):

Diese Methode kann den gesamten von Ihnen eingegebenen Text erfassen, mit Ausnahme von Kennwörtern , einschließlich personenbezogener Daten und Kreditkartennummern. Es kommt von der App Highway. Trotzdem benutzen?

Ich habe die Eingabe eines Kennworts in ein Webformular und das Festlegen des Gerätekennworts überprüft. In beiden Fällen wird weiterhin die Eingabemethode eines Drittanbieters verwendet, mit der ich das Kennwort eingebe. Warum behauptet Samsung, dass die Eingabemethode keine Passwörter sammeln kann? Tun sie etwas unglaublich Schlaues in ihrer Android-Version oder reden sie nur Unsinn?

security samsung input-methods

— Dan Hulme
quelle

Ich denke, es ist das letztere, oder eine Variante davon: Schreiben Sie ihre Aussage auf "es werden keine Passwörter gesammelt" könnte glaubwürdig sein. Es kann IMHO keine Lüge sein, obwohl es schwer zu beweisen ist (außer wenn man das Beispiel des Benutzers zählt, der einen Text wie "Mein Passwort ist falsch" schreibt, wie soll die App das erkennen?). Wie kann Samsung so sicher sein, immer zu wissen, wo ein Passwort eingegeben wird?

— Izzy

TBH, meine Vermutung ist , dass es bedeutet , dass Sie nicht eine 3rd-Party - Tastatur verwenden , können die Eingabe Bildschirm sperren Passwort beim Entsperren des Bildschirms. Wenn die ausgewählte Tastatur weiterhin zum Festlegen des Kennworts verwendet wird, ist dies kein Sicherheitsvorteil.

— Dan Hulme

Es ist einfach nicht ehrlich anzunehmen, dass eine Tastatur keinen Zugriff auf Kennwörter hat, die Sie damit eingeben. Das ist ein Widerspruch an sich. Die Tastatur-App hat Zugriff auf alles, was Sie eingeben (wenn dies Kennwörter ausschließen würde, könnten Sie sie nicht eingeben), und kann somit alles sammeln. Wenn dies der Fall ist, passt ein anderes Problem nicht zur Formulierung. Ich sage nicht, dass sie absichtlich eine "falsche Behauptung" aufgestellt haben, aber es kann einfach nicht wahr sein. Richtig wäre "Kann den gesamten eingegebenen Text sammeln, wird aber möglicherweise / hoffentlich / ... ausschließen ...". Für Apps von Drittanbietern können sie nicht sicher sein. Schreiben Sie eine, beschuldigen Sie sie :)

— Izzy

Als Programmierer finde ich das interessant. Kennwortfelder können (und werden in der Regel) anders behandelt als normale Textfelder. Angesichts der Tatsache, dass Android Open Source ist, ist es möglich, dass Samsung zumindest versucht hat, Code einzufügen, der verhindert, dass ein Kennwortfeld die darin eingegebenen Informationen an die Tastaturanwendung zurückgibt, aber wie andere angegeben haben, bin ich skeptisch.

Damit eine Tastaturanwendung Ihre Daten erfassen kann, muss sie den zusätzlichen Schritt umfassen, Ihre Eingaben zu erfassen, sie irgendwo zu speichern, auch wenn sie nur vorübergehend in einer Instanzvariablen enthalten sind, und sie dann an einen Dritten weiterzuleiten. Es würde mich interessieren, was Samsung dazu sagt und wie es angeblich verhindert wird, aber ich schätze, das ist eine Antwort, die wir wahrscheinlich nicht bekommen werden.

— Roan
quelle