Lorsque j'active une méthode de saisie (une application clavier) sur un appareil Nexus, je vois le message de confirmation suivant:
Cette méthode de saisie peut permettre de collecter tout le texte que vous saisissez, y compris les données personnelles comme les mots de passe et les numéros de carte de crédit. Cela vient de l'application Highway. Utilisez cette méthode de saisie?
Je comprends cet avertissement. En raison de la façon dont une méthode d'entrée fonctionne, elle a la capacité de collecter tout ce que je tape et je dois faire confiance à l'auteur pour ne pas abuser de cette capacité. Mais lorsque j'active une méthode de saisie sur mon Samsung Galaxy S3 (et peut-être d'autres appareils Samsung; je n'ai pas essayé), je reçois un message différent (c'est moi qui souligne):
Cette méthode peut collecter tout le texte que vous entrez, à l' exception des mots de passe , y compris les données personnelles et les numéros de carte de crédit. Cela vient de l'application Highway. Utiliser quand même?
J'ai vérifié la saisie d'un mot de passe dans un formulaire Web et la définition du mot de passe de l'appareil. Dans les deux cas, il utilise toujours la méthode de saisie (tierce) que j'ai choisie pour saisir le mot de passe. Alors pourquoi Samsung prétend que la méthode de saisie ne peut pas collecter de mots de passe? Font-ils quelque chose d'incroyablement intelligent dans leur version d'Android, ou parlent-ils simplement de bêtises?
la source
Réponses:
En tant que programmeur, je trouve cela intéressant. Les champs de mot de passe peuvent être (et sont généralement) traités différemment des zones de texte normales. Étant donné qu'Android est open source, je suppose qu'il est possible que Samsung ait au moins tenté d'inclure du code qui empêche un champ de mot de passe de transmettre les informations saisies à l'application clavier, mais comme d'autres l'ont déclaré, je suis sceptique.
Pour qu'une application de clavier collecte vos données, elle doit inclure l'étape supplémentaire de capture de votre entrée, de la stocker quelque part, même si elle est juste temporairement dans une variable d'instance, puis de l'envoyer à un tiers. Je serais intéressé d'entendre ce que Samsung dit à ce sujet et comment ils sont censés l'empêcher, mais je suppose que c'est une réponse que nous n'obtiendrons probablement pas.
la source