Mengapa keyboard di Samsung Galaxy S3 tidak mengumpulkan kata sandi?

Ketika saya mengaktifkan metode input (aplikasi keyboard) pada perangkat Nexus, saya melihat pesan konfirmasi berikut:

Metode input ini mungkin dapat mengumpulkan semua teks yang Anda ketik, termasuk data pribadi seperti kata sandi dan nomor kartu kredit. Itu berasal dari aplikasi Highway. Gunakan metode input ini?

Saya mengerti peringatan ini. Karena cara metode input bekerja, ia memiliki kemampuan untuk mengumpulkan semua yang saya ketik, dan saya harus percaya penulis untuk tidak menyalahgunakan kemampuan ini. Tetapi ketika saya mengaktifkan metode input pada Samsung Galaxy S3 saya (dan mungkin perangkat Samsung lainnya; Saya belum mencoba), saya mendapatkan pesan yang berbeda (penekanan saya):

Metode ini dapat mengumpulkan semua teks yang Anda masukkan, kecuali kata sandi , termasuk data pribadi dan nomor kartu kredit. Itu berasal dari aplikasi Highway. Tetap gunakan?

Saya sudah memeriksa memasukkan kata sandi ke dalam formulir web, dan mengatur kata sandi perangkat. Dalam kedua kasus, masih menggunakan metode input (pihak ke-3) yang saya pilih untuk memasukkan kata sandi. Jadi mengapa Samsung mengklaim bahwa metode input tidak dapat mengumpulkan kata sandi? Apakah mereka melakukan sesuatu yang sangat pintar dalam versi Android mereka, atau mereka hanya berbicara omong kosong?

security samsung input-methods

— Dan Hulme
sumber

Saya kira itu yang terakhir, atau varian dari itu: menulis ulang pernyataan mereka menjadi "tidak akan mengumpulkan kata sandi" mungkin bisa dipercaya. Itu tidak bisa berbohong IMHO, meskipun sulit untuk dibuktikan (kecuali menghitung contoh pengguna menulis teks seperti "kata sandi saya adalah foobar", seperti bagaimana aplikasi mengenali itu?). Bagaimana Samsung bisa memastikan untuk selalu tahu di mana kata sandi dimasukkan?

— Izzy

TBH, tebakan saya adalah itu berarti Anda tidak dapat menggunakan keyboard pihak ke-3 untuk memasukkan kata sandi layar kunci saat membuka kunci layar. Tetapi jika masih menggunakan keyboard yang dipilih untuk mengatur kata sandi, itu tidak ada manfaat keamanan.

— Dan Hulme

Sama sekali tidak jujur untuk menyarankan keyboard tidak memiliki akses ke kata sandi yang Anda ketik menggunakannya. Itu adalah kontradiksi dalam dirinya sendiri. Aplikasi keyboard memiliki akses ke semua yang Anda ketikkan (jika itu akan mengecualikan kata sandi, Anda tidak bisa mengetiknya), dan dengan demikian dapat mengumpulkan semuanya. Jika tidak melakukannya, adalah masalah yang berbeda tidak pas ungkapan tersebut. Saya tidak mengatakan mereka dengan sengaja menempatkan "klaim palsu", tetapi itu tidak mungkin benar. Yang benar adalah "dapat mengumpulkan semua teks yang Anda masukkan, tetapi mungkin / mudah-mudahan / ... mengecualikan ...". Untuk aplikasi pihak ketiga, mereka tidak dapat memastikan. Tulis satu, salahkan mereka :)

— Izzy

Sebagai seorang programmer saya menemukan ini menarik. Kolom kata sandi dapat (dan biasanya) diperlakukan berbeda dari kotak teks normal. Mengingat bahwa Android adalah open source, saya kira ada kemungkinan bahwa Samsung setidaknya telah berusaha untuk memasukkan kode yang mencegah bidang kata sandi dari meneruskan informasi yang diketik di dalamnya kembali ke aplikasi keyboard, tetapi seperti yang lain telah menyatakan saya skeptis.

Agar aplikasi papan ketik untuk mengumpulkan data Anda, ia harus menyertakan langkah ekstra untuk mengambil input Anda, menyimpannya di suatu tempat, bahkan jika itu hanya sementara dalam variabel instan, dan kemudian mengirimkannya ke pihak ketiga. Saya akan tertarik untuk mendengar apa yang Samsung katakan tentang ini dan bagaimana mereka seharusnya mencegahnya, tetapi saya menduga itu adalah jawaban yang kemungkinan besar tidak akan kami dapatkan.

— Dauk
sumber