Je voulais envoyer un message contenant des caractères non latins sur mon Android. Lorsque j'ai essayé de changer la méthode de saisie au clavier, un avertissement est sorti:
ATTENTION
Cette méthode de saisie peut permettre de collecter tout le texte que vous saisissez, y compris les données personnelles comme les mots de passe et les numéros de carte de crédit. Il provient de l'application [Google App/Google Pinyin/SwiftKey/etc]. Utilisez cette méthode de saisie?
Étant donné que les mots de passe sont des données très sensibles, est-il sensé de donner un consentement explicite à la possibilité que Google puisse collecter tous mes mots de passe et autres données personnelles? Étant donné le haut profil récent NSA espionnage, comment savoir si Google recueille mes mots de passe?) ne pas collecter mes données personnelles, pourquoi un tel consentement explicite devrait-il être obtenu de moi?
Existe-t-il une solution de contournement sur un téléphone Android?
Problème valable pour les deux Android et iOS maintenant que Apple a activé les options de clavier tiers là-bas.
Pour Android, il existe plusieurs solutions de sécurité avec des pare-feu qui vous permettent de couper l'accès réseau à des applications particulières, même si un accès réseau complet est autorisé dans les autorisations de ces applications. Certains nécessitent un accès root et je ne peux pas personnellement attester de l'efficacité de ces applications, mais plusieurs fonctionnent avec Vanilla Android et sont très bien considérés. Cela dit, "bien considéré" ne signifie pas sécurisé— ces applications présentent les mêmes menaces que celles que vous essayez de restreindre. Si elle fonctionne sans accès root, alors, pour des raisons qui ne sont pas familières avec la plate-forme, elles nécessitent elles-mêmes un accès complet au réseau. Pour les applications qui font nécessitent un accès root, ils obtiennent un accès root qui est encore pire (et l'acte d'enracinement lui-même pose un risque de sécurité important pour cette raison). Je suppose que c'est une question de savoir à quelle entité vous faites le plus confiance: Google contre un développeur tiers. Cela peut facilement dégénérer en un débat sur l'entité qui aurait le plus peur de la loi et de la mauvaise presse, mais bien sûr, cela n'est pas valable comme seule considération dans le cadre de la sécurité de l'information; une attaque empêchée aujourd'hui vaut mieux qu'une attaque aujourd'hui, la justice sera rendue demain.
Ce n'est pas la tâche la plus simple de supprimer complètement la connectivité Google de votre téléphone, et le clavier ne sera pas le goulot d'étranglement d'une faille hypothétique de leur part. Nonobstant, il existe claviers qui ne nécessitent ni accès root ni accès au réseau, bien que l'expérience utilisateur puisse s'avérer insatisfaisante/insuffisante pour vos besoins. Vous pouvez essayer Clavier Keymonk qui ne nécessite aucun accès au réseau, mais à en juger par les critiques, il ne fonctionnerait probablement pas aussi bien pour vos besoins. Une autre option consiste à utiliser quelque chose comme LastPass ou DashLane qui, je crois, agissent comme des méthodes de saisie comme le fait un clavier. Quelque chose qui se prépare avec 1Password qui mérite d'être étudié: ils rempliront les mots de passe sans utiliser le presse-papiers (le reniflage du presse-papiers est une autre préoccupation valable de cette même nature, peut-être une menace encore plus grande pour le moment). Toutes ces applications que j'ai énumérées pourraient avoir leurs propres motivations.
À la fin de la journée, la confiance est plus ou moins un fait (triste) d'utilisation confortable du smartphone aujourd'hui, et il peut être difficile de déterminer qui mérite celui/qui respectera la vie privée/dont les infractions sont les plus bénignes.
Avec Android (et je crois iOS maintenant), les claviers tiers peuvent être téléchargés et utilisés avec d'autres applications. Google n'a aucun moyen de faire en sorte que le logiciel tiers n'enregistre pas vos frappes de touches pendant sa Donc, pour se couvrir, ils donnent un avertissement général à chaque changement de clavier.
C'est pourquoi l'avertissement vous indique explicitement de quelle application provient le clavier. Il garantit que vous comprenez quelle entrée vous choisissez et vérifie avec l'utilisateur que vous êtes conscient des risques d'une application de clavier tierce.
Le travail consiste à savoir et à faire confiance à l'application que vous utilisez pour votre clavier. Si vous ne faites pas confiance à HackingYourKeyboardApp , je ne suggérerais pas de passer à ce clavier. Si vous êtes vraiment curieux, vous pouvez effectuer une analyse du réseau en utilisant Wireshark pour capturer le trafic de votre téléphone. Google utilise probablement SSL/TLS, vous devrez donc utiliser quelque chose comme Fiddler afin de voir le trafic en texte brut qui est envoyé.
Cela peut devenir un peu compliqué, vous pouvez donc essayer d'utiliser émulateur Android avec Fiddler . Il peut être configuré pour utiliser Fiddler et utiliserait simplement votre connexion Ethernet normale. Ne vous inquiétez pas des protocoles sans fil embêtants.
Je vais augmenter la paranoïa juste un peu ici et dire que renifler le réseau n'est pas une garantie que le clavier n'est pas compromis.
Si je devais coder un clavier pour voler des données, je ne ferais pas la transmission ouvertement, je me cacherais à la vue, grouperais les données et les ferronnerais avec d'autres flux de données, peut-être lorsque l'application a été mise à jour pour ajouter un nouvel emoji cool ou quelque chose que je pouvais faire fréquemment sans éveiller les soupçons.
Se sentir en sécurité parce que vous ne voyez pas chaque pression sur une touche ou Word, SSL ou non, transmis en temps réel est une erreur. La meilleure approche consisterait à auditer le code ou à demander à une sorte de tiers de confiance de le faire. Je me rends compte que ce n'est pas pratique pour la plupart des utilisateurs, je ne veux tout simplement pas que quiconque se promène avec un faux sentiment de sécurité basé sur le fait de ne pas voir quelque chose de flagrant dans l'air.
Il obtient un consentement explicite car le téléphone ne sait pas si le clavier envoie des données à qui que ce soit. Donc, il demande ce consentement sur n'importe quel clavier que vous téléchargez. Il s'agit presque certainement d'une clause de non-responsabilité.
Si vous voulez tester par vous-même si les données vont n'importe où, téléchargez Fiddler (sur votre ordinateur de bureau/portable), pointez votre téléphone dessus et commencez à taper! Vous devrez probablement décoder SSL en installant un certificat sur votre téléphone de Fiddler.
Bien qu'en réalité, vous pouvez être raisonnablement sûr que les applications sont bien parce que quelqu'un d'autre les aura testées. Naturellement, ce n'est pas garanti, mais c'est "assez bien" dans la plupart des cas.
Jetez un œil à cette analyse des autorisations inutiles disponibles pour Google Keyboard. Il s'agit d'un cheval de Troie, selon la définition. Pourquoi une application clavier aurait-elle besoin d'un accès Internet complet et de l'autorisation de télécharger des fichiers supplémentaires? Cette page explique comment désactiver le clavier Google.