我的目标是找出Android设备上可能出现的不同安全问题。其中一个是键盘拦截
以下是我的发现
a)如果我没有使用第三方IME(键盘),我确信没有应用程序可以拦截我输入的密钥。
b)如果我正在使用第三方IME应用程序,这个应用程序可以获得我输入的任何内容,并可以将其转发给其他应用程序/上传到网络等。以上两点均适用于Non Rooted和Rooted手机。
如果我使用的是标准键盘(Android或固件提供的键盘),除非固件被修改,否则无法拦截关键事件 我所评论的链接是One和Two
如果我像在Galaxy选项卡上那样插入外部键盘会发生什么2.当我们在顶部的Activity上的EditText上使用此键盘键入时,是否保证没有其他人可以拦截按键(Rooted) /非root用户手机,没有固件更改)?我希望安全部分下的Android文档here中给出的IME安全规则也适用于外部键盘。
我最近在Market上找到了DoMobile ShareKeyboard应用,它可以在Android设备上通过电脑键盘使用Wifi / GPRS进行输入。显然,用户正在使用第三方IME,因此在安全性成为主要问题的情况下,它完全不安全。
如果我提到的要点错了,请纠正我。
答案 0 :(得分:1)
当我们在顶部的Activity上的EditText上使用此键盘键入时,是否保证没有其他人可以拦截按键(Rooted / Non rooted phone并且没有固件更改)?
是的,如果操作系统是处理键盘的操作系统。
答案 1 :(得分:1)
a)你不能确定。原始键盘附带您的设备是由您的设备制造商制造的,但可能会被修改,直到它掌握在您的手中(由运营商,经销商,rom modders或只是您的老板) - 这非常容易。 根据我的个人经验,固件开发人员通常不记得从他们的IME应用程序清除调试信息,并且所有密钥(甚至触摸输入)都打印在记录器中。
b)实际上这可能只是一种更安全的解决方案。你从谷歌市场得到它,所以你知道没有人碰到它。这些应用程序也是由专业人士构建IME的人制作的,因此他们会更好地了解如何提高其安全性和性能。
如果您的设备已植根,则根本无法保护您的隐私,使用root权限的应用程序将能够从最低级别读取您的密钥 - 例如/ dev / input / eventX内核输入设备而非事件谈话关于阅读Android密钥调度程序也很容易。
外部键盘与虚拟键盘没有区别,它的键可以通过活动的IME应用程序拦截。
如果您的安全对您很重要,请使用官方固件,不要使用您的设备,并使用市场上经过验证的安全性良好的IME应用程序。