Большинство пользователей смартфонов воспринимают экранную клавиатуру как неотъемлемую часть операционной системы — что-то вроде «родного» поля для ввода, которое появляется по умолчанию. Однако это заблуждение может дорого обойтись. На самом деле виртуальная клавиатура (или метод ввода, IME — Input Method Editor) — это полноценное самостоятельное приложение. Как и любое другое приложение, оно имеет собственные разрешения, доступ к сети, а часто и к облачным сервисам разработчика. И именно этот статус «невидимого, но вездесущего» приложения делает клавиатуру одним из самых опасных источников утечки персональных данных
Пользователи привыкли следить за тем, какие права получают мессенджеры, социальные сети или игры. Но мало кто задумывается, что клавиатура, которую мы используем для ввода паролей, номеров банковских карт, личной переписки и рабочих документов, по умолчанию может видеть всё, что мы набираем.
Почему клавиатура это приложение, а не часть системы
Технически Android-смартфон позволяет подключать любые сторонние клавиатуры из магазина приложений. Gboard от Google, SwiftKey от Microsoft, клавиатуры от Samsung, Xiaomi, а также множество независимых разработчиков — все это отдельные программы. Даже та клавиатура, которая стоит «из коробки», вполне может быть создана сторонним разработчиком (например, Baidu для многих китайских брендов).
Как любое приложение, клавиатура запрашивает у системы разрешения. Отличие от обычной игры или калькулятора в том, что клавиатура по определению имеет доступ к полю ввода, в котором вы печатаете текст. Более того, многие клавиатуры требуют доступ в интернет для облачных функций: предсказания слов, синхронизации словаря между устройствами, обновления эмодзи и гифок. И как только приложение получает доступ в сеть, оно потенциально может отправлять туда все, что вы печатаете — ваши сообщения, поисковые запросы и пароли.
Реальные утечки
История знает случаи, когда именно клавиатуры становились причиной масштабных утечек. Возможно, самый громкий инцидент произошел с приложением ai.type. Эта клавиатура собрала данные 31 миллиона пользователей, причем разработчики собирали не только нажатия клавиш, но и номера телефонов, точную геолокацию и даже содержимое адресной книги. Зачем клавиатуре адресная книга? Очевидно, что для монетизации личной информации, а вовсе не для улучшения набора текста.
Другой тип уязвимости — ошибки в шифровании. В мае 2024 года исследователи обнаружили, что многие популярные клавиатуры, используемые для ввода китайского языка пиньинь, отправляют нажатия на сервер в незащищенном или слабо защищенном виде. Злоумышленник с доступом к домашнему роутеру мог перехватывать набор каждого символа, включая пароли. В зоне риска оказались устройства Honor, OPPO, Samsung, Vivo и Xiaomi. Хотя проблема касалась конкретного языка, она наглядно демонстрирует принцип: как только облачное предсказание передает данные в интернет, при некорректном шифровании эти данные становятся доступны посторонним.
Даже у таких гигантов, как Microsoft и Google, клавиатуры собирают метаданные о вводе. Gboard и SwiftKey отправляют данные о языке, длине слова, времени набора и названии приложения, где происходил ввод. В связке с уникальным рекламным идентификатором это позволяет профилировать пользователя и даже определять, кто с кем переписывается в мессенджерах. А в SwiftKey при включенной опции «Помочь улучшить продукты» на сервер могут отгружаться и «небольшие фрагменты набранного текста» — что именно это значит, не раскрывается.
Как злоумышленники могут использовать клавиатуру
Атака может развиваться по двум сценариям: удаленному и локальному.
Удаленный сценарий: вы устанавливаете красивую или просто более удобную стороннюю клавиатуру из сомнительного источника или даже из официального магазина, но с «агрессивной» политикой конфиденциальности. Это приложение имеет полное право отправлять все ваши нажатия на свой сервер. Спустя время вы вводите логин от почты или пароль от интернет-банка — и они уходят злоумышленнику. Вам даже не нужно подтверждать каждое нажатие — клавиатура работает незаметно.
Локальный сценарий: зловредное ПО, уже попавшее на устройство (например, через зараженный роутер или под видом другой программы), может перехватывать трафик между клавиатурой и ее облачным сервером. Если клавиатура использует слабое шифрование (или не использует вовсе), злоумышленник в той же Wi-Fi-сети способен расшифровать нажатия в реальном времени.
Кроме того, стандартные разрешения Android позволяют клавиатуре включать «специальные возможности» (Accessibility), которые дают практически полный контроль над экраном. Если такое разрешение получено, клавиатура может читать содержимое других приложений, перехватывать введенные пароли даже в режиме защищенного ввода и подменять интерфейс банковских приложений. Это — крайний, но возможный уровень угрозы.
Как проверить, какая клавиатура установлена и что она делает
Мало кто из пользователей заходит в настройки раздела «Система» → «Язык и ввод» → «Виртуальная клавиатура». А зря. Там можно увидеть список всех клавиатур, которые когда-либо были активированы на устройстве. Иногда пользователи забывают отключить старые или тестовые клавиатуры, которые остаются активными и потенциально могут работать в фоне. Что важно проверить:
- Какая клавиатура выбрана по умолчанию. Если это нечто малоизвестное, стоит задуматься.
- Есть ли у клавиатуры разрешение на доступ в интернет. Многие современные Android-версии позволяют запретить приложению доступ в сеть — это радикальный, но действенный метод для тех, кто не пользуется облачными подсказками.
- Имеет ли клавиатура доступ к «Специальным возможностям». Если да, узнайте зачем. Честной клавиатуре это не нужно.
Практические советы по защите
Пользуясь тем, что клавиатура — это самостоятельное приложение, вы можете управлять ею, как любым другим софтом. Вот несколько конкретных шагов:
Совет 1. Выбирайте клавиатуру с открытым исходным кодом или проверенного производителя. Лучший вариант для privacy-энтузиастов — AnySoftKeyboard или OpenBoard. Эти приложения не отправляют ваши нажатия в облако, не собирают телеметрию и не требуют доступа в интернет. Если нужно что-то более функциональное — выбирайте Gboard от Google или SwiftKey от Microsoft, но с обязательным изучением настроек.
Совет 2. Отключите облачные предсказания и синхронизацию. Даже в Gboard можно отключить «Отправку статистики использования». В SwiftKey — отключить аккаунт и облачную синхронизацию личного словаря. Да, качество предсказаний немного упадет, но зато ваши тексты не будут покидать телефон.
Совет 3. Отзовите лишние разрешения. Зайдите в настройки приложения-клавиатуры и посмотрите, какие разрешения ей выданы. Доступ к контактам? Геолокации? Камере? Клавиатуре это абсолютно не нужно. Смело отзывайте.
Совет 4. Устанавливайте клавиатуры только из официального магазина и по возможности избегайте малоизвестных. Китайские клавиатуры от Baidu, Tencent или iFlytek могут быть очень удобны для ввода иероглифов, но, как показали исследования, их шифрование часто оставляет желать лучшего. Если вы не связаны с необходимостью вводить редкие восточноазиатские языки, лучше выбрать Gboard или AnySoftKeyboard.
Совет 5. Регулярно проверяйте список активных клавиатур в настройках. Удалите те, которые не используете. Это снизит поверхность атаки: даже если старая клавиатура оказалась уязвимой, она не сможет перехватывать ввод, если отключена.