¿Cómo puedo saber si la entrada del teclado de Google es segura para usar?

Navega tus respuestas
17

Quería enviar un mensaje que contenga algunos caracteres no latinos en mi teléfono Android. Cuando intenté cambiar el método de entrada del teclado, apareció una advertencia:

  

ATENCIÓN

  Este método de entrada puede recopilar todo el texto que escribe,   Incluyendo datos personales como contraseñas y números de tarjetas de crédito. Eso   proviene de la aplicación [Google App / Google Pinyin / SwiftKey / etc]. ¿Usar este método de entrada?

Dado que las contraseñas son datos altamente confidenciales, ¿tiene sentido dar un consentimiento explícito a la posibilidad de que Google pueda recopilar todas mis contraseñas y otros datos personales? Dado el reciente espionaje de la NSA de alto perfil, ¿cómo puedo saber si Google realmente recopila mis contraseñas? Si no recopila mis datos personales, ¿por qué debería obtenerme ese consentimiento explícito?

¿Hay alguna solución en un teléfono con Android?

    
pregunta Question Overflow 18.02.2015 - 08:29
fuente

6 respuestas

7

Preocupación válida para Android y iOS ahora que Apple ha habilitado las opciones de teclado de terceros allí.

Para Android, existen varias soluciones de seguridad con firewalls que le permiten cortar el acceso a la red a aplicaciones particulares, incluso si se permite el acceso total a la red en los permisos de esas aplicaciones. Algunos requieren acceso a la raíz y no puedo dar fe personalmente de la eficacia de estas aplicaciones, pero varios funcionan con Android de vainilla y están muy bien considerados. Dicho esto, "bien considerado" no significa seguro: estas aplicaciones presentan las mismas amenazas que las que intenta restringir. Si funciona sin acceso a la raíz, entonces, por razones más allá de mi familiaridad con la plataforma, ellos mismos requieren acceso total a la red. Para las aplicaciones que do requieren acceso de root, obtienen un acceso de root que es aún peor (y el hecho de rooting representa un riesgo de seguridad importante por ese motivo). Supongo que es una cuestión de en qué entidad confía más: Google frente a un desarrollador externo. Esto puede fácilmente convertirse en un debate en torno a qué entidad temería más la ley y la mala prensa, pero, por supuesto, eso no es una consideración única en el ámbito de la seguridad de la información; un ataque prevenido hoy es mejor que un ataque hoy, la justicia se sirve mañana.

No es la tarea más fácil eliminar por completo la conectividad de Google de su teléfono, y el teclado no será el cuello de botella en una hipotética violación de su parte. No obstante, hay teclados que no requieren acceso de root ni acceso a la red, aunque la experiencia del usuario puede resultar insatisfactoria / insuficiente para sus propósitos. Puede probar Keymonk Keyboard que no requiere ningún acceso a la red, pero a juzgar por Las revisiones probablemente no funcionarán tan bien para sus propósitos. Otra opción es usar algo como LastPass o DashLane que creo que actúan como métodos de entrada como lo hace un teclado. Algo se está gestando con 1Password que vale la pena investigando: rellenarán las contraseñas sin usar el portapapeles (la búsqueda del contenido del portapapeles es otra preocupación válida de esta misma naturaleza, tal vez una amenaza aún mayor en este momento). Todas las aplicaciones que enumeré podrían tener sus propios motivos ocultos.

Al final del día, confianza es más o menos un hecho (triste) del uso cómodo de teléfonos inteligentes hoy en día, y puede ser difícil determinar quién lo merece / quién respetará la privacidad / cuya Las infracciones son más benignas.

    
respondido por el AJAr 18.02.2015 - 11:19
fuente
3

Obtiene el consentimiento explícito porque el teléfono no sabe si el teclado envía datos a alguien o no. Por lo tanto, solicita ese consentimiento en cualquier teclado que descargues. Es casi seguro que es un descargo de responsabilidad contra la demanda.

¡Si quieres probar por ti mismo si los datos van a alguna parte, descarga Fiddler (en tu computadora de escritorio / portátil), apunta tu teléfono y comienza a escribir algo! Probablemente tendrás que decodificar SSL instalando un certificado en tu teléfono de Fiddler.

Aunque en realidad, puede estar razonablemente seguro de que las aplicaciones están bien porque alguien más las habrá probado. Naturalmente, eso no es garantía, pero es "suficientemente bueno" en la mayoría de los casos.

    
respondido por el AlexH 18.02.2015 - 10:59
fuente
3

Con Android (y creo que iOS ahora), los teclados de terceros se pueden descargar y utilizar con otras aplicaciones. Google no tiene ninguna forma de imponer que el software de terceros no esté grabando sus pulsaciones durante su operación. Entonces, como una forma de cubrirse a sí mismos, dan una advertencia general cada vez que se cambia el teclado.

Esta es la razón por la que la advertencia le dice explícitamente de qué aplicación proviene el teclado. Asegura que entienda qué entrada está eligiendo y verifica con el usuario que está al tanto de los riesgos de una aplicación de teclado de terceros.

La solución alternativa se reduce a saber y confiar en qué aplicación está utilizando para su teclado. Si no confías en HackingYourKeyboardApp , no te sugiero que cambies a ese teclado. Si realmente tienes curiosidad, puedes realizar un análisis de red utilizando Wireshark para capturar el tráfico desde tu teléfono. Es muy probable que Google esté usando SSL / TLS, por lo que tendrá que usar algo como Fiddler en orden para ver el tráfico de texto plano que se está enviando.

Eso puede complicarse un poco, así que puedes intentar usar emulador de Android con Fiddler . Puede configurarse para usar Fiddler y solo usaría su conexión Ethernet normal. No tiene que preocuparse por los molestos protocolos inalámbricos.

    
respondido por el RoraΖ 18.02.2015 - 13:51
fuente
3

Voy a subir la paranoia solo un poco aquí y decir que oler la red no es garantía de que el teclado no esté comprometido.

Si fuera a codificar un teclado para robar datos, no haría la transmisión abiertamente, me escondería a simple vista, agrupar los datos y combinarlos con otros flujos de datos, quizás cuando la aplicación se actualizó para agregar Genial emoji nuevo o algo que podría hacer con frecuencia sin levantar sospechas.

Sentirse seguro porque no ve cada pulsación de tecla o palabra, SSL o no, transmitida en tiempo real es un error. El mejor enfoque sería auditar el código o hacer que un tercero de confianza lo haga. Me doy cuenta de que esto no es práctico para la mayoría de los usuarios, simplemente no quiero que nadie corra con una falsa sensación de seguridad basada en no ver algo evidente en el aire.

    
respondido por el Chuck Mattern 25.10.2015 - 13:41
fuente
1

Eche un vistazo a este análisis de permisos innecesarios disponibles para el teclado de Google. Este es un troyano, según la definición. ¿Por qué una aplicación de teclado necesita acceso completo a Internet y permiso para descargar archivos adicionales? Esta página explica cómo deshabilitar el teclado de Google.

    
respondido por el fraber 07.03.2016 - 16:15
fuente
-3

En mi opinión, el teclado Gboard de Google es el teclado de Android más seguro y seguro hasta el momento, así que obtienes la última copia directamente de Google Play Store, y no de un sitio web de terceros, porque esa copia de Gboard podría estar infectada ya que no fue escaneado por Google ellos mismos.

Los teclados Android de terceros directamente desde Play Store deberían ser seguros, pero prefiero estar más que arrepentido, y solo usar la última versión de Gboard directamente desde Google Play Store.

    
respondido por el Anonymous Android Expert 16.08.2018 - 05:43
fuente

Lea otras preguntas en las etiquetas

¿Por qué se prefiere el patrón de token del sincronizador sobre el encabezado de origen para evitar CSRF? Consecuencias de / etc / ssh / moduli comprometido