Pourquoi un clavier du Samsung Galaxy S3 ne peut-il pas collecter de mots de passe?

Lorsque j'active une méthode de saisie (une application clavier) sur un appareil Nexus, je vois le message de confirmation suivant:

Cette méthode de saisie peut permettre de collecter tout le texte que vous saisissez, y compris les données personnelles comme les mots de passe et les numéros de carte de crédit. Cela vient de l'application Highway. Utilisez cette méthode de saisie?

Je comprends cet avertissement. En raison de la façon dont une méthode d'entrée fonctionne, elle a la capacité de collecter tout ce que je tape et je dois faire confiance à l'auteur pour ne pas abuser de cette capacité. Mais lorsque j'active une méthode de saisie sur mon Samsung Galaxy S3 (et peut-être d'autres appareils Samsung; je n'ai pas essayé), je reçois un message différent (c'est moi qui souligne):

Cette méthode peut collecter tout le texte que vous entrez, à l' exception des mots de passe , y compris les données personnelles et les numéros de carte de crédit. Cela vient de l'application Highway. Utiliser quand même?

J'ai vérifié la saisie d'un mot de passe dans un formulaire Web et la définition du mot de passe de l'appareil. Dans les deux cas, il utilise toujours la méthode de saisie (tierce) que j'ai choisie pour saisir le mot de passe. Alors pourquoi Samsung prétend que la méthode de saisie ne peut pas collecter de mots de passe? Font-ils quelque chose d'incroyablement intelligent dans leur version d'Android, ou parlent-ils simplement de bêtises?

security samsung input-methods

— Dan Hulme
source

Je suppose que c'est le dernier, ou une variante de celui-ci: réécrire leur déclaration "il ne collectera pas les mots de passe" pourrait être crédible. Cela ne peut pas être un mensonge à mon humble avis, bien que difficile à prouver (sauf en comptant l'exemple de l'utilisateur écrivant un texte comme "mon mot de passe est foobar", comment l'application reconnaîtra-t-elle cela?). Comment Samsung peut-il être sûr de toujours savoir où un mot de passe est entré?

— Izzy

TBH, je suppose que cela signifie que vous ne pouvez pas utiliser un clavier tiers pour entrer le mot de passe de l' écran de verrouillage lors du déverrouillage de l'écran. Mais s'il utilise toujours le clavier sélectionné pour définir le mot de passe, ce n'est pas un avantage pour la sécurité.

— Dan Hulme

Il n'est tout simplement pas honnête de suggérer qu'un clavier n'a pas accès aux mots de passe que vous tapez en l'utilisant. C'est une contradiction en soi. L'application clavier a accès à tout ce que vous tapez (si cela exclut les mots de passe, vous ne pouvez pas les saisir) et peut donc tout collecter. Si elle ne le font, est une autre question qui ne figure le phrasé. Je ne dis pas qu'ils ont intentionnellement émis une "fausse affirmation", mais cela ne peut tout simplement pas être vrai. Le correct serait "peut collecter tout le texte que vous entrez, mais peut-être / espérons-le / ... exclure ...". Pour les applications tierces, elles ne peuvent pas être sûres. Écrivez-en un, blâmez-les :)

— Izzy

En tant que programmeur, je trouve cela intéressant. Les champs de mot de passe peuvent être (et sont généralement) traités différemment des zones de texte normales. Étant donné qu'Android est open source, je suppose qu'il est possible que Samsung ait au moins tenté d'inclure du code qui empêche un champ de mot de passe de transmettre les informations saisies à l'application clavier, mais comme d'autres l'ont déclaré, je suis sceptique.

Pour qu'une application de clavier collecte vos données, elle doit inclure l'étape supplémentaire de capture de votre entrée, de la stocker quelque part, même si elle est juste temporairement dans une variable d'instance, puis de l'envoyer à un tiers. Je serais intéressé d'entendre ce que Samsung dit à ce sujet et comment ils sont censés l'empêcher, mais je suppose que c'est une réponse que nous n'obtiendrons probablement pas.

— Rouan
source