J'utilise SwiftKey sur mon téléphone. J'essaie également de nombreux claviers Android personnalisés dès qu'ils sont disponibles sur Google Play.
Je voudrais savoir si les claviers personnalisés disponibles sur Google Play peuvent capturer mes mots de passe pendant que je les tape et les envoyer sur Internet ? Existe-t-il un mécanisme intégré à Android qui les empêcherait de faire cela ?
Bien sûr, une application de clavier peut capturer vos mots de passe au fur et à mesure que vous les tapez, ainsi que tout ce que vous tapez : les SMS coquins, les numéros de carte de crédit, les recherches sur Internet, tout. Vous ne pourriez pas avoir un mécanisme pour l'arrêter, parce que dans un sens, c'est ce que c'est pour .
Elle ne peut envoyer cette information ou toute autre information sur Internet que si elle dispose de l'autorisation appropriée, à savoir un "accès complet au réseau". Presque toutes les applications utilisent cette autorisation, cependant, et un clavier pourrait la demander pour télécharger de nouveaux fichiers de langue, ou pour afficher des publicités s'il utilise ce modèle de revenu. SwiftKey, par exemple, dispose d'un service de "synchronisation en nuage" qui permet à tous vos appareils de partager les mêmes données d'apprentissage. Ce service ne peut fonctionner qu'en transmettant les mots que vous avez tapés, et les données statistiques sur le texte que vous tapez, à travers l'internet vers leurs serveurs.
Android vous avertit que c'est le cas à chaque fois que vous activez un clavier tiers dans l'application Langue et saisie paramètres. Les appareils Nexus affichent un dialogue avec le message :
Cette méthode de saisie peut être capable de collecter tout le texte que vous tapez, y compris les données personnelles comme les mots de passe et les numéros de carte de crédit. Elle provient de l'application Highway. Vous utilisez cette méthode de saisie ?
mais comme je l'ai mentionné dans une autre question Les fabricants peuvent remplacer le message (éventuellement par un message qui n'est pas entièrement vrai) ou le désactiver complètement.
Théoriquement oui : c'est la nature même d'un clavier de connaître toutes vos pressions de touche. Donc, si l'application a l'autorisation d'accéder à Internet, elle peut aussi envoyer ces informations à "un endroit quelconque".
Pour les applications à code fermé, il est difficile de vérifier si elles le font ou non (la seule façon de le faire serait de surveiller l'activité de leur réseau sur une longue période, ce qui est mieux fait sur le routeur). Avec les applications à code source ouvert, c'est plus facile, car le code est librement disponible et peut donc être examiné directement.
Il y a quelques années, j'aurais dit : si c'est un développeur réputé, vous êtes en sécurité. Avec les rapports d'espionnage d'aujourd'hui, il est difficile de dire... Donc si vous voulez être absolument sûr, il n'y a pas d'autre moyen que d'utiliser un clavier open-source, de récupérer le code, et de le compiler pour vous-même ( mode paranoïaque ;)
Oui, TOUS les claviers capturent votre saisie et il n'y a aucun moyen de garantir que les données ne quittent pas votre appareil. Si le clavier est "alimenté par le nuage", il n'est pas sécurisé de par sa conception, puisque tout ce que vous tapez est envoyé sur le réseau.
À mon avis, vous ne devriez pas faire confiance au GBoard (officiel de Google) ni aux claviers tiers, à moins que leur source ne soit ouverte et disponible pour un audit public.
Je recommande vivement AnySoftKeyboard qui est une plainte FOSS offrant "la confiance par la transparence" comme alternative à la croyance. http://anysoftkeyboard.github.io/
AndroidAlle est une communauté de androiders où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
