Come faccio a sapere se l'input da tastiera di Google è sicuro per l'uso?

Naviga le tue risposte
17

Volevo inviare un messaggio contenente alcuni caratteri non latini sul mio telefono Android. Quando ho provato a cambiare il metodo di input da tastiera, è apparso un avviso:

ATTENTION

This input method may be able to collect all the text that you type, including personal data like passwords and credit card numbers. It comes from the app [Google App/Google Pinyin/SwiftKey/etc]. Use this input method?

Dato che le password sono dati altamente sensibili, ha senso dare il consenso esplicito alla possibilità che Google possa raccogliere tutte le mie password e altri dati personali? Dato il recente spionaggio NSA di alto profilo, come faccio a sapere se Google fa in effetti raccoglie le mie password? Se è non che raccoglie i miei dati personali, perché dovrebbe essere ottenuto tale consenso esplicito?

C'è qualche soluzione alternativa su un telefono Android?

    
posta Question Overflow 18.02.2015 - 08:29
fonte

6 risposte

7

Preoccupazioni valide per Android e iOS ora che Apple ha abilitato le opzioni di tastiera di terze parti lì.

Per Android, ci sono diverse soluzioni di sicurezza con firewall che ti consentono di tagliare l'accesso alla rete a particolari applicazioni, anche se l'accesso completo alla rete è consentito nelle autorizzazioni di quelle app. Alcuni richiedono l'accesso come root e non posso personalmente attestare l'efficacia di queste applicazioni, ma diversi funzionano con vanilla Android e sono molto ben visti. Detto questo, "ben considerato" non significa sicuro: queste applicazioni pongono le stesse minacce di quelle che stai cercando di limitare. Se funziona senza accesso root, quindi, per ragioni che vanno al di là della mia familiarità con la piattaforma, essi richiedono l'accesso completo alla rete. Per le app che fanno richiedono l'accesso come root, ottengono l'accesso root che è anche peggio (e l'atto stesso del rooting pone un significativo rischio per la sicurezza per questo motivo). Suppongo che si tratti di quale entità ti fidi di più: Google contro uno sviluppatore di terze parti. Ciò può facilmente trasformarsi in un dibattito su quale entità sarebbe più temibile per la legge e la stampa cattiva, ma ovviamente non è valida come unica considerazione nell'ambito della sicurezza delle informazioni; un attacco evitato oggi è meglio di un attacco oggi, la giustizia è servita domani.

Non è il compito più semplice rimuovere completamente la connettività di Google dal tuo telefono e la tastiera non sarà il collo di bottiglia di un'ipotetica violazione da parte loro. Nonostante ciò, ci sono tastiere che non richiedono alcun accesso root né alcun accesso alla rete, sebbene l'esperienza utente possa rivelarsi insoddisfacente / insufficiente per i propri scopi. Puoi provare Tastiera Keymonk che non richiede alcun accesso alla rete, ma a giudicare da le recensioni probabilmente non funzionerebbe così bene per i vostri scopi. Un'altra opzione è usare qualcosa come LastPass o DashLane che credo funga da metodi di input come fa una tastiera. Qualcosa di interessante con 1Password vale la pena esaminando: riempiranno le password senza usare gli appunti (lo sniffing negli appunti è un'altra preoccupazione valida di questa stessa natura, forse una minaccia ancora maggiore al momento). Tutte quelle app che ho elencato potrebbero avere i loro secondi fini.

Alla fine della giornata, fiducia è più o meno un (triste) fatto di uso comodo degli smartphone oggi, e può essere difficile determinare chi lo merita / chi rispetterà la privacy / di chi le violazioni sono più favorevoli.

    
risposta data 18.02.2015 - 11:19
fonte
3

Ottiene il consenso esplicito perché il telefono non sa se la tastiera invia o meno dati a chiunque. Quindi, chiede il consenso su qualsiasi tastiera scaricata. È quasi certamente un disclaimer anti-legge.

Se vuoi verificare da solo se i dati vanno ovunque, scarica Fiddler (sul tuo desktop / laptop), punta il tuo telefono e inizia a digitare! Probabilmente dovrai decodificare SSL installando un certificato sul tuo telefono da Fiddler.

Anche se in realtà, puoi essere abbastanza sicuro che le app vanno bene perché qualcun altro le avrà provate. Naturalmente non è garantito, ma è "abbastanza buono" nella maggior parte dei casi.

    
risposta data 18.02.2015 - 10:59
fonte
3

Con Android (e ora credo iOS), le tastiere di terze parti possono essere scaricate e utilizzate con altre app. Google non ha modo di far rispettare il fatto che il software di terze parti non sta registrando le tue battiture durante la sua operazione. Quindi, come un modo per coprirsi, danno un avvertimento generale ogni volta che la tastiera viene cambiata.

Questo è il motivo per cui l'avviso ti dice esplicitamente da quale app proviene la tastiera. Ti assicura di capire quale input hai scelto e di verificare con l'utente che sei consapevole dei rischi di un'applicazione di tastiera di terze parti.

Il lavoro intorno si riduce a sapere e fidarsi di quale applicazione stai usando per la tua tastiera. Se non ti fidi di HackingYourKeyboardApp , allora non suggerirei di passare a quella tastiera. Se sei davvero curioso, puoi eseguire alcune analisi di rete usando Wireshark per catturare il traffico dal tuo telefono. Molto probabilmente Google utilizza SSL / TLS, quindi dovrai utilizzare qualcosa come Fiddler in ordine per vedere il traffico di testo in chiaro che viene inviato.

Questo può diventare un po 'complicato, quindi potresti provare a usare Emulatore Android con Fiddler . Può essere configurato per utilizzare Fiddler e utilizzare semplicemente la normale connessione Ethernet. Non devi preoccuparti di fastidiosi protocolli wireless.

    
risposta data 18.02.2015 - 13:51
fonte
3

Sto andando su per la paranoia solo un po 'qui e dico che annusare la rete non garantisce che la tastiera non sia compromessa.

Se dovessi codificare una tastiera per rubare dati non avrei fatto la trasmissione apertamente, mi sarei nascosto in bella vista, collassare i dati e portarli avanti con altri flussi di dati, magari quando l'app è stata aggiornata per aggiungere un bella nuova emoji o qualcosa che potrei fare spesso senza destare sospetti.

Sentirsi al sicuro perché non si vede ogni tasto premuto o parola, SSL o meno, trasmesso in tempo reale è un errore. L'approccio migliore sarebbe quello di controllare il codice o fare in modo che una sorta di terza parte fidata lo faccia. Mi rendo conto che questo non è pratico per la maggior parte degli utenti, semplicemente non voglio che nessuno corre in giro con un falso senso di sicurezza basato sul non vedere qualcosa di sfacciato nell'aria.

    
risposta data 25.10.2015 - 13:41
fonte
1

Dai un'occhiata a questa analisi delle autorizzazioni non necessarie disponibili per Google Keyboard. Questo è un cavallo di Troia, secondo la definizione. Perché un'applicazione per la tastiera richiede l'accesso completo a Internet e l'autorizzazione per scaricare file aggiuntivi? Questa pagina spiega come disabilitare Google Keyboard.

    
risposta data 07.03.2016 - 16:15
fonte
-3

A mio parere, la tastiera Gboard di Google è la tastiera Android più sicura e sicura per tutto il tempo in modo che tu possa ottenere l'ultima copia direttamente dal Google Play Store e non da un sito Web di terze parti, perché quella copia di Gboard potrebbe essere infetta da non è stato scansionato da Google stesso.

Le tastiere Android di terze parti direttamente dal Play Store dovrebbero comunque essere al sicuro, ma preferirei essere al sicuro piuttosto che dispiaciuti e utilizzare solo l'ultima versione di Gboard direttamente dal Google Play Store.

    
risposta data 16.08.2018 - 05:43
fonte

Leggi altre domande sui tag

Perché il modello di token del sincronizzatore è preferito al controllo dell'intestazione di origine per impedire CSRF L'SSL è stato terminato con un sistema di bilanciamento del carico conforme PCI?