Google Board y sus “features”.

Vale. Para el que no lo sepa,  GBoard o Google Board es un aplicación de teclado para Android de la compañia Google. Permite poner bonitos gifs, emoticonos y todas esas cosas tan chulas que hacen que sea una aplicación muy instalada. Aquí podemos ver sus características más destacadas.

Si miramos los permisos de la aplicación vemos lo siguiente:

Entre sus consejos podemos leer esto además:

¿Qué quiere decir esto? Que Google Board dispone de un diccionario, en algún lugar, al cual se añaden palabras que escribimos en esa aplicación.Hasta aquí todo correcto. Además, la app dispone de una barra de sugerencias que nos muestra sugerencias a partir de dicho diccionario y de otros, o de la red. Pero hay un problema. ¿Qué pasa cuando escribes tu contraseña con ese teclado de Google? Exacto: La contraseña queda almacenada en el diccionario. Esto no debería ser así (desde mi modesto punto de vista vaya). No creo que sea algo que haya sido programado ex-profeso, sino sencillamente un desliz. La aplicación tan solo recoge las palabras que usa el usuario y si le apetece, la añade al diccionario. Lo que no debería hacer la aplicación es recoger esas palabras de un campo password de un formulario. Ahí está el problema. No es normal que el teclado te muestre como sugerencia de palabra la contraseña maestra de tu almacén de credenciales en texto plano.Ademas, ¿Quien más conoce ahora dicho diccionario? ¿Se ha transmitido a los servidores de Google?

Vosotros mismos podéis hacer la prueba. Sencillamente tenéis que instalar dicho teclado GBoard y activar “mostrar sugerencias” en sus opciones. Seguidamente, acceder a un lugar donde tengáis que rellenar usuario y contraseña (cualquier aplicación web con usuarios). Ahora, cerráis la aplicación esa, y abrís WhatsApp (por ejemplo). Os ponéis a charlar con cualquiera en un chat, escribís los primeros caracteres de la pass…y tachán: aparece como sugerencia el pass en texto plano en la barra de sugerencias. Si es muy larga, lo mismo aparece entrecortada y con unos puntos suspensivos por el medio, pero basta pulsar en la sugerencia para mostrar a vuestro contacto una de vuestras contraseñas.

He notado que con contraseñas que no tienen ningún sentido o complejas (lo normal si se pretende tener un poco de seguridad) como por ejemplo “X34&-$gy12” no ocurre esto. Pero si ocurre con contraseñas que comienzan con letras que puedan conducir a una palabra en su significado, por ejemplo un password tipo “mIgAtoFont12” si se registra en el diccionario. Esto quiere decir, que GBoard comprueba si lo que has escrito puede tener algún sentido en el idioma definido en el terminal. Si lo tiene o es un indicio de algún sentido, pasa al diccionario y será mostrado como sugerencia de palabra en la barra de sugerencias. También lo hace cuando lo escrito se utiliza repetidas veces, es decir: si insistes en usar esa palabra tan rara, es que es importante para ti, y por eso te lo mostrará como sugerencia.

Esto puede parecer una chorrada a más de uno. Algunos incluso dirán “qué cómodo que GBoard me recuerde mis contraseñas porque tengo muy mala memoria“. En serio: Si queréis una aplicación que os recuerde vuestras contraseñaa, hay decenas de aplicaciones que lo hacen de forma segura (KeePass, BitWarden, etc). Para nada debe hacerse semejante acción sin el conocimiento del usuario, y máxime cuando la gran mayoría de usuarios no dispone de los conocimientos suficientes para discernir si esto es seguro o no. La mayor parte de los usuarios no se leen los permisos de las aplicaciones que instalan ni el manual completo de la mismas. Pero cuando ves que GBoard te sugiere, como palabra a usar en una conversación, tu contraseña maestra, la llave de la mayoría de tus aplicaciones, servicios y demás, pues se te hace el culo Pepsi Cola.

Lo he reportado en la propia Google Play, a modo de comentario en la aplicación, y en la cuenta de twitter de GBoard, sin respuesta por el momento. Editado (7/12/2017): No se porqué razón han suspendido esa cuenta de Twitter.

Es curioso que el que utilizaba anteriormente (Samsung Keyboard), cuando lo he vuelto a seleccionar como teclado por defecto, me avisa de que puede recoger palabras de conversaciones para mejorar la experiencia en chats y otros aplicaciones y almacenarlas en el diccionario personal. Eso si: Advierte de que en ningún caso recogerá texto de las entradas de contraseña. ¿Será de fiar? ¿A qué viene la advertencia?

Bonus track: El famoso “diccionario” de usuario al que alude GBoard, cuando lo consulto, me dice que no tengo ninguna palabra en el mismo. Pero GBoard me sigue recordando mi contraseña una y otra vez. Debe ser que, además de mala memoria, tengo mal la vista. Por lo visto, la única manera de que olvide esa extraña frase es eliminarla de la barra de sugerencias arrastrándola o eliminando un diccionario vacío que aparentemente está vacío.

Si has activado la opción “sincronizar diccionario en otras aplicaciones“, evidentemente el diccionario ha viajado a los servidores de Google para que lo tengas disponible cómodamente en tu tablet, en tu PC, en cualquier parte del mundo.

Actualización a 9/12/2017: Parece ser que han escuchado (o leído) el comentario (o algún otro), que en la última versión de GBoard, que se ha instalado automáticamente en mi terminal (no podía resistirme a realizar más pruebas de esto) el “feature” ya no funciona. O por lo menos, no he conseguido que funcione. Lo cual es una buena noticia para los chicos buenos y para el usuario medio de aplicaciones de este tipo.

Sin embargo, tengo que decir que a pesar de que informar de un error de funcionamiento es una de las cosas que nos explicaron en Entornos de Desarrollo, porque está bien y bla bla bla, nadie en Google ha tenido a bien decir que esto era así, y que se estaban memorizando contraseñas y usuarios de forma indiscriminada. Y que si esos datos viajaron a la nube, en la nube se han quedado. Así que, aún estás a tiempo de borrar completamente el diccionario personal, o arrastrar de la barra de sugerencias esa pass recurrente que te sugiere cuando intentas escribir “pepinillos”. Y luego, cambia las contraseñas que hayas escrito con dicho teclado. Vamos que, si Google normalmente espera “feedback” por parte de los usuarios, estaría bien que cuando uno encuentra un error, también recibiera de Google al menos el reconocimiento de ese error. Y si no lo hace, es que algo está mal orientado.

Un último pensamiento. Como Google es el proveedor de servicios como “google.services.*”, y este entorno es la base de cualquier app que uno desarrolla, es posible que todos los teclados que uno usa en la actualidad en Android estén afectados del mismo problema o “feature”. Vamos que, lo mejor que podemos hacer es utilizar otros métodos de autenticación en nuestros servicios.

Un saludo.

 

 

Anuncios