Samsung Galaxy S3의 키보드가 암호를 수집 할 수없는 이유는 무엇입니까?

Nexus 기기에서 입력 방법 (키보드 앱)을 사용하면 다음 확인 메시지가 표시됩니다.

이 입력 방법을 사용하면 암호 및 신용 카드 번호와 같은 개인 데이터를 포함하여 입력 한 모든 텍스트를 수집 할 수 있습니다. 앱 고속도로에서 나옵니다. 이 입력 방법을 사용 하시겠습니까?

이 경고를 이해합니다. 입력 방법이 작동하는 방식으로 인해 입력 방법을 모두 수집 할 수 있으며이 기능을 남용하지 않도록 저자를 신뢰해야합니다. 그러나 Samsung Galaxy S3 (및 다른 Samsung 장치; 시도하지 않은)에서 입력 방법을 활성화하면 다른 메시지가 나타납니다 (내 강조).

이 방법은 개인 데이터 및 신용 카드 번호를 포함하여 비밀번호를 제외한 입력 한 모든 텍스트를 수집 할 수 있습니다 . 앱 고속도로에서 나옵니다. 어쨌든 사용 하시겠습니까?

웹 양식에 비밀번호를 입력하고 기기 비밀번호를 설정했습니다. 두 경우 모두 암호를 입력하기로 선택한 (타사) 입력 방법을 계속 사용합니다. 그렇다면 삼성은 왜 입력 방법으로 비밀번호를 수집 할 수 없다고 주장합니까? 그들은 안드로이드 버전에서 엄청나게 영리한 일을하고 있습니까, 아니면 말도 안되는 소리입니까?

security samsung input-methods

— 댄 헐메
소스

나는 그것이 후자이거나 그것의 변형이라고 생각합니다. " 암호를 수집 하지 않을 것 "으로 그들의 진술을 다시 작성하는 것이 믿을 수 있습니다. 그것은 할 수없는 하드가 증명하지만 (같은 텍스트 작성하는 사용자의 예를 계산 제외하고 응용 프로그램이 그것을 인정한다 방법으로, "비밀번호를는 foobar이다"?), 거짓말 이럴입니다. 암호를 입력 한 위치를 항상 삼성이 어떻게 알 수 있습니까?

— Izzy

TBH, 내 생각에 그것은 화면 잠금을 해제 할 때 타사 키보드를 사용하여 잠금 화면 암호 를 입력 할 수 없다는 것을 의미합니다 . 그러나 여전히 선택된 키보드를 사용 하여 암호 를 설정 하면 보안상의 이점이 없습니다.

— Dan Hulme

키보드를 사용하여 입력 한 비밀번호에 액세스 할 수없는 키보드를 제안하는 것은 정직하지 않습니다. 그것은 모순입니다. 키보드 앱은 입력 한 모든 내용 (암호를 제외하고 입력 할 수없는 경우)에 액세스 할 수 있으므로 모든 것을 수집 할 수 있습니다 . 이 경우 않습니다 그렇게 다른 문제는 말씨를 피팅 없습니다. 나는 그들이 의도적으로 "거짓 주장"을했다고 말하지는 않지만 단순히 사실이 될 수는 없습니다. 올바른 것은 "입력 한 모든 텍스트를 수집 할 수 있지만 가능하면 / 희망적으로 / ... 제외 ..."입니다. 타사 앱의 경우 확실하지 않습니다. 하나를 작성, 그들을 비난 :)

— 이지

프로그래머로서 나는 이것이 흥미로웠다. 비밀번호 필드는 일반 텍스트 상자와 다르게 처리 될 수 있으며 일반적으로 처리됩니다. 안드로이드가 오픈 소스라는 점을 감안할 때 삼성은 암호 필드가 입력 한 정보를 키보드 응용 프로그램으로 다시 전달하지 못하게하는 코드를 적어도 포함하려고 시도했을 가능성이 있지만 다른 사람들처럼 나는 회의적이라고 말했습니다.

키보드 응용 프로그램이 데이터를 수집하려면 입력을 캡처하고 인스턴스 변수에 임시로 있더라도 어딘가에 저장 한 다음 타사로 전송하는 추가 단계가 포함되어야합니다. 나는 삼성이 이것에 대해 무엇을 말하고 그들이 어떻게 그것을 막을 수 있는지에 관심이 있지만, 그것이 우리가 얻지 못할 대답이라고 추측합니다.

— 부드러운 양가죽
소스