Por supuesto, una aplicación de teclado puede capturar tus contraseñas a medida que las escribes, junto con todo lo demás que escribes: mensajes de texto traviesos, números de tarjetas de crédito, búsquedas en la web, todo. No podrías tener un mecanismo para detenerlo, porque en cierto sentido, eso es lo que es para .
Sólo puede enviar esta o cualquier otra información a través de Internet si tiene el permiso apropiado, "acceso total a la red". Sin embargo, casi todas las aplicaciones utilizan este permiso, y un teclado puede quererlo para descargar nuevos archivos de idioma, o para mostrar anuncios si utiliza ese modelo de ingresos. SwiftKey, por ejemplo, tiene un servicio de "sincronización en la nube" para que todos tus dispositivos compartan los mismos datos de entrenamiento. Esto sólo puede funcionar transmitiendo las palabras que has escrito, y los datos estadísticos sobre el texto que escribes, a través de Internet a sus servidores.
Android te advierte que esto es así cada vez que activas un teclado de terceros en el Lenguaje y entrada ajustes. Los dispositivos Nexus muestran un diálogo con el mensaje:
Este método de entrada puede ser capaz de recoger todo el texto que escribes, incluyendo datos personales como contraseñas y números de tarjetas de crédito. Proviene de la aplicación Highway. ¿Usas este método de entrada?
pero como menciono en otra pregunta Los fabricantes pueden sustituir el mensaje (quizás por uno que no sea del todo cierto) o desactivarlo por completo.