Yo uso SwiftKey en mi teléfono. También pruebo un montón de teclados personalizados para Android a medida que se lanzan en Google Play.
Me gustaría saber si los teclados personalizados disponibles en Google Play pueden capturar mis contraseñas mientras las escribo y enviarlas a través de Internet. ¿Hay algún mecanismo integrado en Android que les impida hacerlo?
Por supuesto, una aplicación de teclado puede capturar tus contraseñas a medida que las escribes, junto con todo lo demás que escribes: mensajes de texto traviesos, números de tarjetas de crédito, búsquedas en la web, todo. No podrías tener un mecanismo para detenerlo, porque en cierto sentido, eso es lo que es para .
Sólo puede enviar esta o cualquier otra información a través de Internet si tiene el permiso apropiado, "acceso total a la red". Sin embargo, casi todas las aplicaciones utilizan este permiso, y un teclado puede quererlo para descargar nuevos archivos de idioma, o para mostrar anuncios si utiliza ese modelo de ingresos. SwiftKey, por ejemplo, tiene un servicio de "sincronización en la nube" para que todos tus dispositivos compartan los mismos datos de entrenamiento. Esto sólo puede funcionar transmitiendo las palabras que has escrito, y los datos estadísticos sobre el texto que escribes, a través de Internet a sus servidores.
Android te advierte que esto es así cada vez que activas un teclado de terceros en el Lenguaje y entrada ajustes. Los dispositivos Nexus muestran un diálogo con el mensaje:
Este método de entrada puede ser capaz de recoger todo el texto que escribes, incluyendo datos personales como contraseñas y números de tarjetas de crédito. Proviene de la aplicación Highway. ¿Usas este método de entrada?
pero como menciono en otra pregunta Los fabricantes pueden sustituir el mensaje (quizás por uno que no sea del todo cierto) o desactivarlo por completo.
Android warns you that this is the case every time you activate a new keyboard. En realidad nunca he visto ningún tipo de advertencia cuando activo SwiftKey. Sí, al descargarla, muestra todos los permisos que requiere esta aplicación.
¿Así que usar HTC Sense Input es tan arriesgado como usar SwiftKey (tengo HTC One X)? ¿Y supongo que lo mismo ocurre con el teclado de Google?
En teoría, sí: la naturaleza de un teclado es conocer todas las pulsaciones de las teclas. Así que si la aplicación tiene el permiso de Internet, también podría enviar esto a "algún lugar".
En el caso de las aplicaciones de código cerrado, es difícil comprobar si lo hacen o no (la única forma de hacerlo sería monitorizando su actividad en la red durante mucho tiempo, lo que es mejor hacer en el router). En el caso de las aplicaciones de código abierto, es más fácil, ya que el código es de libre acceso y, por tanto, se puede investigar directamente.
Hace unos años habría dicho: si es un desarrollador de confianza, estás en el lado seguro. Con los informes de espionaje de hoy en día, es difícil decirlo... Así que si quieres estar absolutamente seguro, no hay otra manera que usar un teclado de código abierto, coger el código y compilarlo por ti mismo (← modo paranoico ;)
+1 por mencionar los méritos relativos del software de código abierto y de código cerrado. También vale la pena señalar que el código abierto no es una garantía en sí mismo: hay que examinar y entender el código fuente cuidadosamente, o confiar en que alguien lo haga por ti. Y en el caso de los teclados en los que la carga de lo que se escribe es una característica, como SwiftKey, no hay ninguna garantía.
Si quieres ir sobre seguro, y tienes suficientes habilidades, también podrías intentar descompilar la aplicación específica del teclado, para ver qué hace exactamente. Por supuesto, no estoy diciendo que nadie debe hacerlo, pero existe la opción de hacerlo, y si tienes miedo de tu privacidad, definitivamente te sentirías más seguro si supieras qué es exactamente lo que se transmite al servidor de los desarrolladores de ciertos teclados.
Sí, TODOS los teclados capturan tu entrada y no hay forma de garantizar que los datos no salgan de tu dispositivo. Si el teclado funciona en la nube, es inseguro por su diseño, ya que todo lo que escribes se envía a través del cable.
En mi opinión, no deberías confiar en GBoard (oficial de Google) ni en los teclados de terceros a menos que su fuente sea abierta y esté disponible para una auditoría pública.
Recomiendo encarecidamente AnySoftKeyboard, que es una queja de FOSS que ofrece "confianza por transparencia" como alternativa a la creencia. http://anysoftkeyboard.github.io/
PreguntAndroid es una comunidad de usuarios de Android en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.
