¿Qué mecanismos de seguridad existen para los teclados personalizados de iOS?

También hay una característica de seguridad incorporada en el propio sistema, que evita que teclados de terceros ingresen campos de contraseña: cuando tocas un campo de contraseña, el sistema volverá al teclado predeterminado temporalmente.

Por cierto, no confiaría en Apple para verificar que las aplicaciones no son maliciosas. Muchas aplicaciones utilizan bibliotecas proporcionadas por proveedores analíticos, y si bien las analíticas en sí mismas son spyware, algunas de ellas son lo suficientemente descuidadas para transmitir datos confidenciales (ubicación, nombre, correo electrónico) a través de HTTP simple y, sin embargo, pueden aceptarse en la App Store.

Sí, estas aplicaciones podrían registrar lo que estás escribiendo o generar eventos de entrada arbitrarios en tu lugar . No hay nada que puedas hacer para evitar que los procesos de suministro de entrada abusen de sus privilegios.

Dicho esto, hay algunos factores estructurales sobre cómo se maneja la entrada en las interfaces de usuario móviles que limitan los riesgos de los teclados personalizados (a diferencia de los equipos de escritorio):

• La entrada del teclado solo se usa para la entrada en la aplicación , y no para interactuar con la interfaz de usuario del sistema, cambiar entre aplicaciones o lanzar aplicaciones: esto hace que algunos ataques sean imposibles como abrir una terminal / aplicación, escribiendo cosas personalizadas y cerrando la aplicación detrás
• Es probable que las aplicaciones de entrada de teclado no requieran una conexión a Internet o estado de estado más allá de una API impuesta por el sistema operativo, lo que dificulta que actúen maliciosamente. Todavía podría haber aplicaciones que usen legítimamente una conexión a Internet (por ejemplo, sincronizar sus palabras personalizadas en todos los dispositivos) o IPC (leer sus correos electrónicos para predecir las palabras que usa con frecuencia). Como tal, la mejor manera de manejar los proveedores de entrada personalizados es otorgarles un permiso específico para manejar la entrada en lugar de ejecutarlos sin la caja. Eso es lo que hace iOS al parecer.
• Según Andre (no me revisé a mí mismo :-)), los campos de entrada de contraseña siempre son administrados por su teclado nativo . Si eso siempre es bueno, es tema de debate , por ejemplo, los usuarios móviles eligen contraseñas notoriamente más débiles para reducir la cantidad de cambios de modo que deben realizar al escribir una contraseña y los teclados con mejor o se podría utilizar un manejo más personalizable de caracteres especiales para escribir contraseñas más seguras en interfaces de usuario móviles con un pequeño costo adicional.

Creo que la respuesta es bastante simple. a diferencia de Android, Apple no tiene varias tiendas de aplicaciones y la tienda de aplicaciones oficial tiene políticas relativamente estrictas con respecto a la verificación de la aplicación

en otras palabras, aunque iOS 8 permite teclados personalizados, aún deben verificarse antes de instalarlos en la tienda de aplicaciones. sin embargo, este no es el caso de las tiendas de aplicaciones no oficiales y los dispositivos con problemas de cárcel están (como siempre) en riesgo

Dejando de lado la verificación de aplicaciones / complementos, en un sistema operativo relativamente cerrado como iOS, no es tan difícil negar el acceso a Internet a las aplicaciones / complementos, por lo que el keylogger es inútil.