Почему клавиатура на Samsung Galaxy S3 не может собирать пароли?

Когда я включаю метод ввода (приложение клавиатуры) на устройстве Nexus, я вижу следующее подтверждающее сообщение:

Этот метод ввода может быть в состоянии собрать весь текст, который вы вводите, включая личные данные, такие как пароли и номера кредитных карт. Это происходит из приложения Highway. Использовать этот метод ввода?

Я понимаю это предупреждение. Из-за того, как работает метод ввода, у него есть возможность собирать все, что я печатаю, и я должен доверять автору, чтобы не злоупотреблять этой способностью. Но когда я включаю метод ввода на своем Samsung Galaxy S3 (и, возможно, на других устройствах Samsung; я не пробовал), я получаю другое сообщение (мой акцент):

Этот метод может собирать весь вводимый вами текст, кроме паролей , включая личные данные и номера кредитных карт. Это происходит из приложения Highway. Использовать в любом случае?

Я проверил ввод пароля в веб-форму и установку пароля устройства. В обоих случаях он все еще использует (сторонний) метод ввода, который я выбираю для ввода пароля. Так почему же Samsung утверждает, что метод ввода не может собирать пароли? Они делают что-то невероятно умное в своей версии Android или просто говорят глупости?

security samsung input-methods

— Дэн Халм
источник

Я полагаю, что это последний вариант или вариант: переписать их утверждение так: «он не будет собирать пароли», возможно, будет правдоподобно. Это не может быть ложью, ИМХО, хотя это трудно доказать (за исключением случая, когда пользователь пишет текст типа «мой пароль - foobar», как приложение распознает это?). Как Samsung может быть уверена, что всегда будет знать, где вводится пароль?

— Иззи

TBH, я думаю, это означает, что вы не можете использовать стороннюю клавиатуру для ввода пароля экрана блокировки при разблокировке экрана. Но если он все еще использует выбранную клавиатуру для установки пароля, это не принесет пользы для безопасности.

— Дэн Халм

Просто не честно предположить, что клавиатура не имеет доступа к паролям, которые вы вводите с ее помощью. Это противоречие само по себе. Приложение клавиатуры имеет доступ ко всему, что вы вводите (если это исключает пароли, вы не можете их набирать), и, таким образом, может собирать все. Если это действительно сделать это, это другой вопрос , не вписывается в фразировки. Я не говорю, что они намеренно выдвинули «ложное требование», но это просто не может быть правдой. Правильнее было бы «может собрать весь введенный вами текст, но, возможно, / надеюсь / ... исключить ...». Для сторонних приложений они не могут быть уверены. Напишите один, обвините их :)

— Иззи

Как программист, я нахожу это интересным. Поля пароля могут (и обычно) обрабатываются иначе, чем обычные текстовые поля. Учитывая, что Android является открытым исходным кодом, я предполагаю, что возможно, что Samsung по крайней мере попытался включить код, который препятствует тому, чтобы поле пароля передавало введенную в него информацию обратно в приложение клавиатуры, но, как и другие, заявили, что я настроен скептически.

Чтобы приложение клавиатуры собирало ваши данные, оно должно включать дополнительный этап захвата вашего ввода, его сохранения где-то, даже если он временно находится в переменной экземпляра, и последующей отправки его третьему лицу. Мне было бы интересно услышать, что Samsung говорит по этому поводу и как они предположительно предотвращают это, но я предполагаю, что это ответ, который мы вряд ли получим.

— чалый
источник