Topic: [Diskusi] Menggunakan keyboard android atau iphone bisa membuat aset BTC hilang? (Read 310 times)

Ijin untuk menyambung walau bung joniboini sudah menjelaskan penggunaan dompet Trust Wallet.
Banyak member bitcointalk menyarankan dompet bitcoin dengan kepercayaan yang tinggi seperti dompet Electrum. Selain itu memiliki kepercayaan yang tinggi karena telah teruji waktu, mereka juga menitikberatkan pada dompet sumber terbuka dan lebih menyarankan untuk menjauh dari penggunaan dompet sumber tertutup.

Setelah dicermati dengan baik, ternyata terdapat perbedaan yang sangat mencolok antara sumber terbuka dengan sumber tertutup.
Sumber menjelaskan bahwa dompet sumber terbuka dirancang untuk umum - siapa saja dapat memberikan masukan pada masalah yang dialami  kepada pengembang untuk melakukan perbaikan seperti dompet Electrum pada update 4.4.6. kemarin yang dibagikan oleh Husna QA.
Beda dengan dompet sumber tertutup yang menghalangi siapa saja untuk masuk ke wilayah pengembang.

Trust Wallet dompet sumber tertutup. Itu menandakan dompet terburuk untuk digunakan.

Simak yang satu ini Belajar cryptocurrency. Sangat mudah dipahami dan mendapatkan pengetahuan.

Saya baru tahu jika trust wallet seperti itu gan,jadi terima kasih atas masukannya.

Trust wallet itu dompet yang tertutup gan, alias kodenya tidak bisa diverifikasi publik. Memang iya dia tidak minta izin yang aneh", tapi bisa saja mereka mengirim statistik input agan ke server mereka atau melakukan hal lain diluar pengetahuan agan yang tidak memerlukan izin khusus. Dengan kata lain, kalau agan ingin menyimpan kripto dalam jumlah besar, sebaiknya gunakan dompet yang lain. Pembahasan lebih lanjut bisa dilanjutkan di thread mengenai wallet Bitcoin kalau mau tanya" lebih jauh.

Aplikasi yang meminta perijinan itu wajar gan karena di zaman sekarang ini privasi dan data pengguna adalah hal yang sangat sensitif. Kita bisa berkaca bagaimana dulu Facebook kerepotan menghadapi gugatan lantaran datanya bocor oleh Cambridge Analytyca (baca Apa itu kasus skandal Cambridge Analytyca Facebook. Artinya, di zaman sekarang ini para developer aplikasi tidak ingin berurusan dengan hukum yang menyangkut privasi. Makanya saat ini apa-apa perlu perijinan dulu.

Dan ini mengharuskan kita untuk berbijak dalam memilah dan memilih aplikasi yang akan kita gunakan. Juga memperhatikan setiap bentuk perijinan yang diminta oleh suatu Apps. Kalaulah perijinan yang diminta terlalu bar-bar kayak membaca hal-hal sensitif seperti keyboard log, sebaiknya pikir-pikir dulu buat menginstall apps tersebut. Untuk keamanan lebih baik enggak download aneh-aneh sih gan apalagi apk diluar market heheh.

Saya pribadi untuk saat ini lebih percaya ke aplikasi default ponselnya. Entah itu keyboard, tema, kontak atau manajer penyimpanan. Ya meskipun Gboard membaca data pengguna tapi bisa dimatikan dengan menonaktifkan "bagikan statistik pengguna" dan "koreksi otomatis". Memang tidak 100% bakal terprivasi tetapi saya merasa kalau aplikasi default pasti lebih aman dalam hal terkait data pengguna. Enggak seperti aplikasi lain meskipun kita install di market sekalipun masih ada potensi menjadi semacm keylogger yang nantinya akan dimanfaatkan oleh si pembuat untuk merekam ketikan-ketikan di ponsel kita.

Yah,saran yang agan berikan memang benar. Tapi yang saya ketahui,jika misalkan perijinan itu tidak disetujui atau tidak diijinkan,yang saya alami dari pengalaman pribadi saya,ada beberapa aplikasi yang memang tidak bisa dijalankan,yang pada intinya harus menyetujui perijinan tersebut. Selain itu,hal yang membuatnya lebih runyam, kebanyakan aplikasi, sekarang selalu meminta perijinan. Berbeda dengan beberapa tahun kebelakang, aplikasi yang meminta perijinan seperti itu masih sangat jarang. Tapi untuk soal dompet,saat ini saya menggunakan trust wallet,dan saya lihat tidak ada perijinan yang berarti atau tidak harus dikhawatirkan. Karena yang saya cek, perijinannya hanya ingin tampil di layar kunci saja. Jadi pasti aman-aman saja.

Mas Chikito benar. Semua ponsel kekinian mendukung screenshot dengan metode yang berbeda antara android oppo, samsung, realme dll.
Saat menulis postingan diatas saya lupa mengatakan dengan jelas kepada OP bahwa penjelasan diatas yang dimaksud tidak mendukung screenshoot disaat sudah berada pada bagian yang privacy seperti pada dompet electrum android.
Ketika sudah berada di tahap terlihat seed phrase yang mungkin sulit untuk mengingatnya, maka tindakan untuk mengambil tangkapan layar sudah tidak bisa sehingga opsi lain adalah menulis di kertas kosong apapun.

Ada dompet Bitcoin yang mendukung untuk mengambil gambar screenshoot seperti dompet BlueWallet di android yang saya gunakan.

---

Terima kasih untuk mas Husna QA. Karena sekarang sedang limit, nanti oleh-olehnya

Saya memahami maksudnya tidak bisa men-screenshot itu ketika masuk pada bagian yang sensitif semisal pada saat proses generate atau menampilkan seed pada detail wallet; Contoh pada Electrum Android, ketika mengambil screenshot seed tidak bisa dan muncul notifikasi diantaranya seperti berikut:



Namun untuk beberapa wallet lain yang saya coba, kebanyakan bisa diambil screenshot pada hal yang sensitif seperti diatas, tidak seperti Electrum andorid yang memiliki fitur pengamanan tersebut.

---

Contoh yang disebutkan di OP semisal keyoard Grammarly itu aplikasi pihak ketiga yang umumnya diinstal sendiri oleh user untuk keperluan tertentu; Keyboard bawaan Android atau iOS-nya itu sendiri setahu saya secara default sudah ada.

Tinggal disesuaikan saja pada pengaturan keyboardnya (kalau di iPhone tap dan tahan ikon globe di pojok kiri bawah keyboard virtualnya)*; Saya sendiri menggunakan keyboard default dari smartphonenya, untuk keyboard tambahan dari aplikasi pihak ketiga hanya digunakan pada waktu memerlukan saja.

Untuk semua senior, terimakasih banyak telah membagikan informasi yang  bisa menjadi pembelajaran tambahan khususnya kepada saya dan umumnya kepada teman-teman lain yang menyimak tanpa memberikan respon.

Semua jawaban yang ditingggalkan disini membuat saya cukup happy karena setiap jawaban punya maksud dan tujuan yang sama mengenai cara menyikapi sebuah elemen yang terlihat memudahkan tetapi bisa menjadi bahaya saat menggunakannya.
Poin positif lain dari semua jawaban yang senior-senior berikan yang dapat saya ambil intisarinya tentang cara alternatif dalam menggunakan keyboard.

Saya cuma berharap semua jawaban diatas, teman-teman saya yang lain bisa menarik kesimpulan sendiri dalam menjalankan sikap hati-hati.

Makanya untuk urusan wallet crypto di smartphone saya lebih yakin untuk menggunakan perangkat iPhone, karena untuk keamanan iPhone lebih baik dibandingkan dengan Android. Dan sejauh yang saya tahu bahwa perangkat iPhone tidak menggunakan third-party untuk keyboard mereka, jadi itu benar-benar aman untuk digunakan pada transaksi crypto dan tidak memungkinkan adanya keylogger yang bisa merekam apa yang kita ketik.

Meminta izin untuk mengakses file itu bisa dibilang wajar khususnya kalau aplikasi yang agan pake memang berkaitan dengan izin tersebut. Dengan kata lain agan bisa melacak apakah aplikasi itu memang nakal atau tidak. Misalnya aplikasi untuk mengedit foto malah meminta izin mengelola telepon dan membaca sms, sebaiknya dihindari, dst. Agan juga masih punya opsi untuk menghapus izin tersebut kalau agan tidak menggunakan aplikasi itu lagi. Tentu saja kalau kaitannya dengan kripto atau data sensitif lain, opsi terbaik ya menghindari aplikasi yang closed source dan sudah diverifikasi publik kalau mereka tidak mengakses/mengirim data yang aneh-aneh, plus bisa agan build sendiri. Termasuk aplikasi keyboard ini. CMIIW.

Setahu saya, semua ponsel kekinian mendukung screenshoot (SS), cuma metodenya aja yang beda, ada yang klik tombol volume atas + power, ada yang volume bawah, ada yang volume atas dan bawah, dsb. Namun bukan itu pointnya, maksud saya di sini adalah, tidak dianjurkan untuk SS atau ngambil foto seed melalui HP, karena biasanya foto tersebut akan automatis terbackup di cloud.

(kalau mau lebih ke parno-nya) Mungkin juga tidak hanya hasil hasil copas, tapi juga barcode private yang kita scan pakai kamera HP. Bisa jadi juga akan auto terkirim ke server google.

Anda memang benar gan,bahkan bukan hanya keyboard saja yang harus di waspadai. Karena semua aplikasi yang terinstall di setiap hp, sekarang selalu meminta perizinan untuk bisa mengakses seperti berkas,galeri,dan dokumen. jadi jika untuk menyimpan sebuah prase atau kunci dompet,memang lebih baik dituliskan di dalam kertas. Karena jika disimpan di dalam HP ataupun PC,takutnya data atau kunci dompet tersebut akan bisa di retas.

Bisa. Ketika kita salah dalam mempraktikkannya.

Pada dasarnya android manapun memiliki keyboard bawaan yang bisa digunakan tanpa perlu mengunduh dan memasang keyboard lain seperti gboard, swiftkey dan grammarly, kecuali orang yang mengunduh aplikasi keyboard pihak ketiga karena keyboard android bawaan bermasalah, tetapi itu jarang terjadi.
Mungkin juga pengguna android manapun mengunduh aplikasi keyboard lain agar keyboardnya terlihat keren dengan tampilan yang berbeda dengan keyboard bawaan.

Pada topik diskusi yang membuat ente penasaran kasus peretasan terjadi karena menggunakan keyboard swiftkey. Sudah banyak yang menyebutkan jika yang berhubungan dengan internet tidak akan aman. Itu benar.
Kalaupun ada orang yang baru memasang dompet kripto, mereka bisa menggunakan keyboard bawaan dari dompet tersebut.
Saya sudah membuka papan klip pada keyboard android saya dan semua jenis ketikan yang saya copy tersimpan disalinan, tetapi masih bisa untuk dihapus semua.

Saya cukup kaget untung saya tidak menggunakan aplikasi dipihak ketiga. Tapi setelah saya cek memang sepertinya mungkin tidak hanya di aplikasi pihak ketiga. Aplikasi bawaan HP andriod menyimpan segala apa yang pernah kita salin dalam fitur clipoard dikeyboard. Mungkin juga prifatkey yang kita copas menggunakan fitur copy paste dari wallet yang ada di HP bisa juga tersimpan. Tapi memang baru kali ini saya mendengar, ada kasus semacam ini.  

Tadi saya melihat dari HP saya sepertinya papan klip saya berisi hasil hasil kopas bukan hasil ketikan. Lalu saya hapus semua karena kawatir, walau memang copas saya itu cuma link2 browser saja. Jadi sebenarnya saya setuju dengan semua teman disini semua yang terkoneksi dengan internet sangat rentan untuk pencurian data. CMIIW

Aplikasi tersebut tidak secara serta merta mengirim semua data yang dihasilkan dari aplikasi keyboard mereka ke servernya. Sebagai contoh, daftar papan klip tersebut bisa saja berasal atau disimpan di penyimpanan lokal perangkat Android tersebut.

Setiap aplikasi mempunyai terms of service dan privacy policy-nya masing-masing, jadi tidak bisa disama-ratakan mereka semua mengetahui segala data dari penggunanya. Salah satu alternatif untuk menghidari tersebut yaiut bisa menggunakan aplikasi keyboard yang lebih menghargai privasi, sebagai contoh, seperti daftar berikut yang direkomendasikan situs privacytools.io.

Tidak dianjurkan menyimpan private key atau seed phrase atau passcode di perangkat yang ada akses ke internet karena itu bisa membahayakan.
Agan bisa perhatikan cara aman menggunakan wallet bitcoin selama 5 tahun yang ditulis oleh mas Chikito.
Anjuran untuk menjauhkan dari kebiasaan yang ada akses internet sudah menjadi dakwah yang terus menerus dilakukan demi keselamatan.

Menggunakan android dan iOS untuk memasang aplikasi dompet Bitcoin tidak ada larangan, tetapi disaat sudah berada pada tahap memasukkan seed phrase, tulis di lembar kertas kosong dengan ballpoint atau pensil dulu karena biasanya ponsel tidak mendukung untuk screenshoot.



Nanti, tulisan yang ditulis dikertas rokok atau kertas kosong lain dipindahkan ke tempat penyimpan yang aman. Agan bisa mempelajari cara mengamankan seed phrase.

Pada ponsel, untuk pengetikan mnemonic seed ulang hanya sekali saja ketika awal pembuatan wallet, jadi ketika create wallet, bisa di mode pesawatkan terlebih dahulu sebelum lanjut. Seperti contoh wallet electrum, memang downloadnya pakai internet, tapi ketika mulai create wallet, usahakan dimode pesawatkan jika memang G-Board terinstall di HP.

Dan Saya cek, ada sebagian wallet yang tidak mengetik ulang mnemonic phrase ketika awal create wallet, Jadi dalam hal ini, Opsi mode pesawat bisa diaktifkan ketika mau recovery saja.

Apapun yang terhubung ke internet bakal lebih aman. Tapi seperti yang Om @mu_enrico katakan, harus bebas dari malware.
Kadang kalo perangkat udah di susupi malware itu bakal susah dan terkadang data sudah di keep malware untuk di retas ketika perangkat sudah online.
Harus lebih prefer buat ngecek perangkat sudah aman atau bebas dari malware atau tidak, karena sekarang banyak aplikasi yang disusupi malware.

---

Dan tentang Gboard, beberapa perangkat android sudah include dengan Gboard secara official, mungkin karena kerjasama dengan google.
Agar Gboard gak ngebaca data pengguna dan tidak mengirimkan ke server ada beberapa settingan yang harus dilakukan.

Setelah membuka Setelan Gboard dan dibagian Privasi, terdapat keterangan Bagikan statistik Pengguna yang merupakan fitur untuk mengumpulkan statistik penggunaan keyboard yang kemudian akan di kirimkan oleh google untuk di kelola sehingga bisa membaca apa yang biasanya di ketik.

Bukan hanya teks saja, Gboard juga bisa membaca data audio yang di ucapkan lewat voice untuk membantu meningkatkan pengenalan ucapan.



Jika ingin mematikannya tinggal nonaktifkan saja.
itu adalah pengaturan privasi yang bisa di sesuaikan oleh setiap pengguna.

---

dan penggunaan Qt Virtual Keyboard yang awalnya ada di aplikasi wallet Mobile Electrum, juga di hapus di versi electrum 4.4.2 dan menggantinya dengan SeedKeyboard khusus untuk memasukan Seed Phrase saat pertama kali membuat atau mengimport wallet.
Fitur ini dirasa lebih aman menurut electrum, sehingga hanya bagian Seed yang menggunakan keyboard khusus.

Aplikasi apapun yang ada autocorrect atau mengirim data ketikan user ke server itu tidak aman IMO, jadi di PC pun kalau ada install gramarly atau mungkin tidak menonaktifkan telemetry/typing collection bisa jadi tidak aman. Solusinya tidak cukup hanya menggunakan keyboard bawaan, tetapi lebih aman kalau sekalian tidak terhubung ke internet.

Kan sudah banyak tuh cara untuk bikin wallet di linux atau cold storage macam hardware wallet/paper wallet, pakai itu saja biar aman. Pakai ponsel sebetulnya bisa aman kalau tidak terhubung ke internet (dengan asumsi software walletnya aman).

Sekarang saya baru sadar kenapa menggunakan android harus hati-hati bagi yang androidnya terinstal aplikasi dompet bitcoin dan dalam dompet punya aset.
Saya penasaran ketika membaca sebuah topik https://bitcointalksearch.org/topic/warning-when-using-mobile-device-wallets-android-ios-5461656 ini.

Ternyata keyboard android yang pernah saya pakai untuk memudahkan saya dalam pengetikan pesan whatsapp dan lain-lain serta pada saat membuat postingan, saya atur pada pengaturan koreksi kata secara otomatis.

Ada beberapa jenis keyboard yang tersedia seperti;
1. Gboard
2. SwiftKey
3. Grammarly Keyboard
4. dan masih banyak lagi yang bersumber dari google search.

Gboard, SwiftKey dan Grammarly Keyboard semuanya itu ternyata keyboard pihak ketiga yang katanya bisa mengetahui semua data kita dari semua jenis ketikan yang kita tulis termasuk private key address bitcoin.

Itu dapat dibuktikan dengan membuka atau menekan icon salinan atau papan klip yang berada diatas keyboard android bagi yang terlihat icon tersebut.



Oh ya, tiga gambar saya ambil screenshot di google pencarian untuk memperlihatkan.