Die Nutzung von Third-Party Keyboards ist insbesondere im privaten Bereich weit verbreitet. Der Verbreitungsgrad erklärt sich durch die Vorteile solcher Erweiterungen, denn sie erleichtern das Erstellen längerer Texte auf Touchscreens von modernen Smartphones erheblich bspw. durch folgende Funktionen:
- durch Wischgesten können Nachrichten deutlich schneller eingetippt werden
- durch leistungsfähige Analyse-Algorithmik können Wörter vorgeschlagen und durch Autovervollständigung leicht übernommen werden
- durch Bereitstellung von Spracherkennung werden Texte mittlerweile recht zuverlässig erkannt
Auf den ersten Blick erscheinen diese Funktionen hilfreich, um die Produktivität erheblich steigern zu können. Die jeweiligen Risiken bei der Benutzung der Funktionen dürfen jedoch nicht außer Acht gelassen werden.
Risiken der Nutzung
Die Nutzung der oben genannten Funktionen ist aus folgenden Gründen fragwürdig:
- Die Third-Party Keyboards sind als Systemerweiterung umgesetzt. Jeder eingegebene Text wird von der Erweiterung erfasst und kann (theoretisch) ungefiltert das Telefon verlassen. Dazu können auch vertrauliche Informationen gehören, wie etwa Passwörter.
- Aufgezeichnete Sprache im Falle der Spracherkennung wird in den seltensten Fällen auf dem Smartphone interpretiert, sondern zum Anbieter übertragen und dort in Text übersetzt. Hier können ebenfalls vertrauliche Informationen betroffen sein.
- Einige Anbieter stellen Cloud-Funktionen bereit, wodurch bspw. die Ergebnisse der Analyse-Algorithmik Geräte-übergreifend synchronisiert werden können. Hier gelangen zwangsläufig Informationen zum Anbieter.
Gegenmaßnahmen
Apple hat beispielsweise bereits in iOS einige Sicherheitsmaßnahmen ergriffen, welche das Missbrauchspotenzial eindämmen. Es ist beispielsweise zu erwähnen, dass Third-Party Keyboards in Passwortfeldern, egal ob auf Webseiten oder in Apps, grundsätzlich die Nutzung von Third-Party Keyboards technisch nicht möglich ist. Weiterhin bieten sich folgende Maßnahmen an:
- Nutzung der Managed App Konfiguration unterbindet die Nutzung von Third-Party Keyboards in allen Managed Apps (d. h. dienstlich genutzten Apps)
- Verhinderung der Installation von Third-Party Keyboards durch Setzen auf eine Blacklist per Mobile Device Management System (bietet jedoch nur einen unvollständigen Schutz, da die Blacklist in der Realität niemals vollständig alle Third-Party Keyboards erfassen kann)
Abschließend ist zu sagen, dass die meisten Anbieter in den Datenschutzbestimmungen ihrer Apps eine Verwendung der Informationen ausschließen bzw. einen Datentransfer explizit verneinen, jedoch kann in der Realität nicht ausgeschlossen werden, dass eine Datenübertragung stattfindet, wie der Fall des
ai.type Keyboard Hacks eindrucksvoll gezeigt hat.
Möchte man als Unternehmen die Vorteile eines Third-Party Keyboards nutzen, insbesondere die Nutzung von Wischgestern, und gleichzeitig die Vertraulichkeit von Daten gewährleisten, bleibt wohl nur die Entwicklung bzw. Programmierung eines solchen Third-Party Keyboards. Immerhin gibt es dann hier die Möglichkeit, selbst Einfluss auf die Funktionalität nehmen zu können.
Weitergehende Informationen
Eine umfangreiche Analyse zu den Risiken von Third-Party Keyboards kann dem Artikel
Security of Third-Party Keyboard Apps on Mobile Devices entnommen werden.
