web-dev-qa-db-ja.com

Googleキーボード入力が安全に使用できるかどうかを確認するにはどうすればよいですか?

Android電話でラテン文字以外の文字を含むメッセージを送信したいと思いました。キーボードの入力方法を変更しようとすると、警告が表示されました:

[〜#〜]注意[〜#〜]

この入力方法では、パスワードやクレジットカード番号などの個人データを含め、入力したすべてのテキストを収集できる場合があります。アプリ[Google App/Google Pinyin/SwiftKey/etc]から取得されます。この入力方法を使用しますか?

パスワードは非常に機密性の高いデータなので、Googleがすべてのパスワードやその他の個人データを収集する可能性があることを明示的に同意することは理にかなっていますか。 /最近の注目度が高いNSAスパイの場合、Googleが実際にパスワードを収集しているかどうかを確認するにはどうすればよいですか?それがでない場合私の個人データを収集していますが、なぜ私からそのような明示的な同意を得る必要があるのですか?

Android電話で回避策はありますか?

19

AndroidiOSの両方の有効な懸念事項Appleでサードパーティのキーボードオプションが有効になりました。

Androidの場合、ファイアウォールを備えたいくつかのセキュリティソリューションがあり、それらのアプリケーションの権限で完全なネットワークアクセスが許可されている場合でも、特定のアプリケーションへのネットワークアクセスを遮断できます。ルートアクセスが必要なものもあり、これらのアプリケーションの有効性を個人的に証明することはできませんが、いくつかはVanilla Androidで動作し、非常に高く評価されています。「十分に評価されている」とは、安全を意味するものではありません—これらのアプリは、制限しようとしているものと同じ脅威をもたらします。ルートアクセスなしで機能する場合、プラットフォームに慣れていない理由により、完全なネットワークアクセスが必要になります。そのアプリdoはrootアクセスを必要とし、彼らはさらに悪いrootアクセスを取得します(そして、それ自身をroot化する行為はその理由で重大なセキュリティリスクをもたらします)私はそれがあなたがより信頼するエンティティの問題だと思います:Google vs 。サードパーティの開発者。これは、どのエンティティが法律と悪い報道を最も恐れるかについての議論に簡単に巻き込まれる可能性がありますが、もちろん、これは情報セキュリティの範囲における唯一の考慮事項としては健全ではありません。今日の攻撃よりも優れており、正義は明日提供されます。

スマートフォンからGoogleの接続を完全に削除するのは簡単なことではありません。キーボードが仮想的な違反のボトルネックになることはありません。それにもかかわらず、ルートアクセスもネットワークアクセスもまったく必要としないキーボードがありますが、ユーザーエクスペリエンスは目的に不満/不十分であることが判明する場合があります。あなたは試すことができます Keymonk Keyboard これはネットワークアクセスを必要としませんが、レビューで判断するとそれはおそらくあなたの目的にはうまくいかないでしょう。他の1つのオプションは、 LastPass または DashLane のようなものを使用することです。これは、キーボードのように入力メソッドとして機能すると私は信じています。調査に値する 1Password で作成されたもの:クリップボードを使用せずにパスワードを入力します(クリップボードスニッフィングはこの同じ性質のもう1つの有効な懸念事項であり、恐らく現時点ではさらに大きな脅威です)。私がリストしたこれらのアプリはすべて、独自の不本意な動機を持つ可能性があります。

結局のところ、trustは多かれ少なかれ今日のスマートフォンの快適な使用の(悲しい)事実であり、誰が値するかを判断するのは難しい場合がありますそれ/プライバシーを尊重する人/侵害が最も害のない人。

9
AJAr

Android(そして今はiOSだと思います)を使用すると、サードパーティのキーボードをダウンロードして他のアプリで使用できます。Googleはサードパーティのソフトウェアがその間にキーストロークを記録しないよう強制する方法がありませんしたがって、キーボードを変更するたびに、自分自身をカバーするための包括的な警告を発します。

これが、キーボードがどのアプリからのものであるかを明示的に警告する理由です。選択している入力を確実に理解し、サードパーティのキーボードアプリケーションのリスクを認識していることをユーザーに再確認します。

回避策は、キーボードに使用しているアプリケーションを知り、信頼することです。信頼できない場合HackingYourKeyboardAppそのキーボードに切り替えることはお勧めしません。本当に興味がある場合は、Wiresharkを使用して電話からトラフィックをキャプチャすることにより、ネットワーク分析を実行できます。 GoogleはSSL/TLSを使用している可能性が高いため、送信されるプレーンテキストトラフィックを確認するには、 Fiddler のようなものを使用する必要があります。

これは少し複雑になる可能性があるので、 AndroidエミュレーターとFiddler を使用してみてください。 Fiddlerを使用するように設定でき、通常のイーサネット接続を使用します。厄介なワイヤレスプロトコルについて心配する必要はありません。

4
RoraΖ

私はここで少しパラノイアを上げて、ネットワークを盗聴することはキーボードが危険にさらされないことを保証するものではないと言います。

データを盗むためにキーボードをコーディングしていたら、オープンに送信せず、見苦しいところに隠し、データをバッチ処理し、他のデータストリームとピギーバックします。おそらく、アプリが更新されてクールな新しい絵文字が追加されたときです。疑うことなく頻繁にできること。

キーを押すたびに、またはWordやSSLがリアルタイムで送信されるかどうかがわからないので、安心です。最善の方法は、コードを監査するか、信頼できるサードパーティに監査を依頼することです。これはほとんどのユーザーにとって実用的ではないことを認識しています。空中に何かが露骨に見えないことに基づいて、だれかが誤った安心感を持って走り回るのを望まないだけです。

3
Chuck Mattern

キーボードはデータを誰かに送信するかどうかを電話が知らないため、明示的な同意を取得します。したがって、ダウンロードするキーボードについて同意を求めます。ほとんどの場合、これは反訴訟の免責事項です。

データがどこに行くかを自分でテストしたい場合は、(デスクトップ/ラップトップで)Fiddlerをダウンロードし、スマートフォンをそれに向けて入力を開始します。おそらく、Fiddlerから電話に証明書をインストールして、SSLをデコードする必要があります。

実際には、あなたはかなり確実にすることができますが、他の誰かがテストしたので、アプリは問題ありません。もちろんそれは保証されませんが、ほとんどの場合それで「十分」です。

3
AlexH

これを見てください analysis Googleキーボードで使用可能な不要な権限の=。定義によると、これはトロイの木馬です。キーボードアプリに完全なインターネットアクセスと追加ファイルのダウンロード許可が必要なのはなぜですか? このページ は、Googleキーボードを無効にする方法を説明しています。

1
fraber