Tại sao bàn phím trên Samsung Galaxy S3 không thể thu thập mật khẩu?

Khi tôi bật phương thức nhập liệu (ứng dụng bàn phím) trên thiết bị Nexus, tôi thấy thông báo xác nhận sau:

Phương thức nhập liệu này có thể có thể thu thập tất cả văn bản bạn nhập, bao gồm dữ liệu cá nhân như mật khẩu và số thẻ tín dụng. Nó đến từ đường cao tốc ứng dụng. Sử dụng phương thức nhập liệu này?

Tôi hiểu cảnh báo này. Do cách thức hoạt động của một phương thức nhập liệu, nó có khả năng thu thập mọi thứ tôi nhập và tôi phải tin tưởng tác giả không lạm dụng khả năng này. Nhưng khi tôi kích hoạt phương thức nhập liệu trên Samsung Galaxy S3 của mình (và có thể các thiết bị Samsung khác; tôi chưa thử), tôi nhận được một thông báo khác (sự nhấn mạnh của tôi):

Phương pháp này có thể thu thập tất cả văn bản bạn nhập, ngoại trừ mật khẩu , bao gồm dữ liệu cá nhân và số thẻ tín dụng. Nó đến từ đường cao tốc ứng dụng. Dùng gì?

Tôi đã kiểm tra nhập mật khẩu vào mẫu web và đặt mật khẩu thiết bị. Trong cả hai trường hợp, nó vẫn sử dụng phương thức nhập (bên thứ 3) mà tôi chọn để nhập mật khẩu. Vậy tại sao Samsung tuyên bố rằng phương thức nhập liệu không thể thu thập mật khẩu? Họ đang làm một cái gì đó cực kỳ thông minh trong phiên bản Android của họ, hay họ chỉ đang nói chuyện vô nghĩa?

security samsung input-methods

— Dan Hulme
nguồn

Tôi đoán đó là cái sau hoặc một biến thể của nó: viết lại tuyên bố của họ thành "nó sẽ không thu thập mật khẩu" có thể tin được. Nó không thể là một IMHO lời nói dối, dù khó có thể chứng minh (trừ đếm ví dụ của người sử dụng viết một văn bản như "Mật khẩu của tôi là foobar", như thế nào sẽ ứng dụng nhận ra rằng?). Làm thế nào Samsung có thể chắc chắn để luôn biết mật khẩu được nhập vào đâu?

— Izzy

TBH, tôi đoán là điều đó có nghĩa là bạn không thể sử dụng bàn phím của bên thứ 3 để nhập mật khẩu màn hình khóa khi mở khóa màn hình. Nhưng nếu nó vẫn sử dụng bàn phím đã chọn để đặt mật khẩu thì đó không phải là lợi ích bảo mật.

— Dan Hulme

Đơn giản là không trung thực khi đề xuất bàn phím không có quyền truy cập vào mật khẩu bạn nhập bằng cách sử dụng nó. Đó là một mâu thuẫn trong chính nó. Ứng dụng bàn phím có quyền truy cập vào mọi thứ bạn nhập (nếu điều đó sẽ loại trừ mật khẩu, bạn không thể nhập chúng) và do đó có thể thu thập mọi thứ. Nếu nó không làm như vậy, là một vấn đề khác nhau không phù hợp các phân nhịp. Tôi không nói rằng họ cố tình đặt một "yêu cầu sai", nhưng đơn giản là nó không thể đúng. Đúng sẽ là "có thể thu thập tất cả các văn bản bạn nhập, nhưng sẽ có thể / hy vọng / ... loại trừ ...". Đối với các ứng dụng của bên thứ 3, họ không thể chắc chắn. Viết một cái, đổ lỗi cho họ :)

— Izzy

Là một lập trình viên tôi thấy điều này thú vị. Các trường mật khẩu có thể (và thường được) xử lý khác với các hộp văn bản thông thường. Cho rằng Android là mã nguồn mở, tôi đoán rằng ít nhất Samsung đã cố gắng bao gồm mã ngăn trường mật khẩu truyền thông tin được nhập vào ứng dụng bàn phím, nhưng giống như những người khác đã tuyên bố tôi nghi ngờ.

Để ứng dụng bàn phím thu thập dữ liệu của bạn, nó phải bao gồm thêm bước thu thập dữ liệu đầu vào của bạn, lưu trữ nó ở đâu đó, ngay cả khi nó chỉ tạm thời ở một biến đối tượng, sau đó gửi nó cho bên thứ ba. Tôi rất muốn nghe những gì Samsung nói về điều này và cách họ được cho là ngăn chặn nó, nhưng tôi đoán đó là câu trả lời mà chúng tôi không thể nhận được.

— Roan
nguồn