Muitas informações confidenciais passam pelo aplicativo de teclado do seu telefone.
Pense nas senhas, detalhes financeiros, mensagens privadas, pesquisas na Internet e assim por diante que são digitados no teclado do telefone todos os dias.
É um componente tão importante do telefone que qualquer pessoa que se preocupa com a privacidade dos dados deve prestar atenção primeiro ao aplicativo de teclado.
Na maioria dos telefones Android, o aplicativo de teclado padrão é o Gboard do Google.
É difícil exagerar o quão difundido é o aplicativo Gboard.
Somente na Google Play Store, são mais de 10 bilhões de downloads. Isso sem contar os downloads da App Store da Apple.
Mas não se deixe enganar pela popularidade do Gboard. É terrível para a privacidade dos seus dados. Vou mostrar por que e o que você pode fazer a respeito.
Relacionado
Esses truques esquecidos do Gboard tornaram minha experiência de digitação no Android muito mais rápida
Acabei usando esses atalhos ocultos do Gboard o tempo todo
O aplicativo de teclado deve estar offline
Não há justificativa para a extensão e especificidade da coleta de dados do Gboard
Acredito fortemente que o aplicativo de teclado deve estar totalmente offline, sem acesso a quaisquer permissões de rede.
Um aplicativo de teclado pode funcionar perfeitamente sem conectividade com a Internet. Existem teclados offline maravilhosos como esse no espaço de código aberto.
No entanto, no Gboard, a permissão de rede é concedida por padrão e não há como desativá-la.
A permissão permite que o Gboard se conecte a servidores remotos para enviar ou baixar dados.

Usando esse acesso à rede, o Gboard controla quais aplicativos você está digitando, quanto tempo você digitou, comprimento das palavras e muito mais. Ele envia esses dados de volta ao Google.
Os dados recolhidos não são anónimos porque podem ser associados à sua identidade real.
Ao longo do dia, o Gboard também captura as teclas digitadas (os caracteres reais que você digitou) e os padrões de digitação e os salva no dispositivo.
À noite, o aplicativo usa as teclas capturadas para treinar seu algoritmo de previsão de palavras. A atualização resultante desta sessão de treinamento é enviada de volta aos servidores remotos.
O Gboard não envia o que você digitou ou as teclas digitadas. Mas é possível recuperá-los totalmente a partir dos dados de treinamento enviados pelo Gboard.
Seja como for, o Gboard não é um simples aplicativo de teclado.
Nos bastidores, ele coleta muito mais informações do que a maioria das pessoas imagina. Pior ainda, os dados coletados podem ser vinculados à sua identidade pessoal.
Um aplicativo de teclado não deve se conectar à Internet. O Gboard, por outro lado, foi projetado de forma que você nem consegue desligar o acesso à Internet.

Relacionado
Passei anos alternando entre teclados Android. Este mudou tudo
HeliBoard me conquistou
O recurso de previsão da próxima palavra apresenta um vazamento de privacidade
O Gboard usa as palavras digitadas para treinar o algoritmo
Você pode ter visto o Excluir palavras e dados aprendidos opção nas configurações do Gboard.
Por padrão, o Gboard registra seu histórico de digitação e salva as palavras exatas que você digitou no armazenamento do dispositivo.
À noite, quando seu telefone está conectado ao Wi-Fi e carregando, ele baixa um modelo de IA da Internet e executa uma sessão de treinamento sobre as teclas digitadas que salvou naquele dia.
![]()
Crédito: Lucas Gouveia/Polícia Android
O objetivo desta sessão de treinamento é melhorar o recurso de previsão da próxima palavra. As melhorias de treinamento são enviadas de volta ao Google como valores matemáticos.
O processo é chamado de aprendizagem federada.
O marketing do Google diz que suas teclas brutas permanecem no dispositivo e apenas os valores de treinamento são enviados, portanto, tudo é seguro e privado.
Mas não é à prova de balas.
Os pesquisadores conseguiram extrair o modelo de IA que o Gboard baixa e treinaram o modelo em um determinado conjunto de dados de palavras e frases.
A sessão de treinamento produziu as atualizações matemáticas do modelo. Eles foram então capazes de reconstruir as teclas originais a partir dessas atualizações matemáticas.
Mais do que palavras-chave aleatórias, eles conseguiram colocar palavras em frases corretas. É surpreendentemente preciso na maior parte.
Está registrando sua atividade de digitação
Essa atividade pode estar vinculada ao seu nome real
A página do aplicativo Gboard na App Store da Apple diz que o aplicativo de teclado coleta e envia de volta pesquisas na web do Google, entradas de voz e estatísticas de uso.
Não há explicação sobre quais são exatamente essas estatísticas de uso.
É prática comum que os desenvolvedores de aplicativos solicitem estatísticas de uso para corrigir bugs e melhorar recursos. Esses relatórios de uso geralmente são anônimos, mas não no Gboard.
A política de privacidade do Gboard afirma claramente que os dados coletados estão diretamente vinculados aos usuários.
Isso significa que sua atividade no Gboard pode ser rastreada até sua identidade real, o que torna os dados coletados confidenciais.
Dados confidenciais, neste contexto, significam quaisquer dados que possam ser rastreados até sua identidade real.
Um pesquisador do Trinity College Dublin realizou um ataque Man-in-the-Middle para capturar e analisar exatamente quais dados o Gboard registra e envia.
O pesquisador conseguiu interceptar os logs enviados pelo Gboard e decodificá-los.
Quanto ao que estava sendo coletado e exatamente, o Gboard registrou em qual aplicativo foi aberto, o comprimento das palavras digitadas (excluindo senhas), quanto tempo demorou para escrevê-las e os idiomas utilizados, entre outros.
Isso acontece o dia todo e todos os dias.
Aqui estão os logs capturados e decodificados lado a lado.

Essas entradas de registro também contêm o ID Android exclusivo do seu telefone.
Este ID do Android pode ser vinculado à sua identidade real se você conectou seu número de telefone ou informações de pagamento a uma conta do Google.
Abandone o Gboard ou pelo menos altere suas configurações padrão
Existem ótimos aplicativos de teclado que não se conectam à internet
Essa telemetria é desativada por padrão, o que significa que você deve procurar as configurações e desativá-las para impedir que o Gboard colete esses dados.
Ou melhor ainda, você pode mudar para uma alternativa ao Gboard que favorece a privacidade.
O aplicativo Heliboard gratuito e de código aberto recebe minha recomendação.
Ele tem todos os recursos do Gboard e mais alguns. Mas não requer permissões de rede e funciona totalmente offline.
Gboard é assustador e inseguro
O Gboard monitora e informa em qual aplicativo você está digitando, o comprimento das palavras e quanto tempo levou para digitá-las. Esta informação pode ser vinculada ao seu nome real.
Superficialmente, pode parecer chato, mas metadados como esses podem revelar muito sobre quem você é. Pode ajudar a rastrear padrões em seu comportamento e como você se conecta com outras pessoas.
A velocidade e o ritmo de digitação podem revelar seu estado emocional e mental, por exemplo. O comprimento das palavras e o tempo necessário para digitá-las podem revelar algo sobre o que está sendo digitado.
Se alguém tiver acesso aos dados de treinamento enviados pelo Gboard, poderá recuperar as teclas digitadas no teclado.