Devi fidarti dello sviluppatore dell'app. Periodo.

Oltre all'analisi del codice non c'è modo di eliminare la possibilità che un'app invii la tua password da qualche parte.

E anche strumenti come Little Snitch non ti aiuteranno se l'app è autorizzata a inviare e-mail dal tuo account. Se invii un'e-mail a qualcuno, userai semplicemente la connessione stabilita per inviare successivamente un'altra e-mail con la tua password. Poiché la connessione è crittografata, non puoi vedere cosa sta facendo l'app. E poiché l'intero scopo dell'app è l'invio di e-mail, la connessione non è affatto sospetta. La stessa cosa vale per tutte le app che necessitano di accesso a Internet, se inserisci la password in un'app di Facebook potrebbe semplicemente usare Facebook per inviare un messaggio privato con la tua password e così via.

Per renderlo ancora più difficile da rilevare, lo sviluppatore potrebbe implementarlo in modo che la routine dannosa attenda 30 giorni prima di inviare la tua password. E se lo sviluppatore è un criminale intelligente (ha scritto un'ottima app quindi probabilmente lo è), può rilevare i tester che fanno avanzare rapidamente anche l'impostazione della data del dispositivo.
Se lo sviluppatore è intelligente, è quasi impossibile capire queste cose senza guardare il codice.

L'immissione della password da qualche parte è tutta una questione di fiducia.
E con tutte quelle app di sviluppatori sconosciuti è difficile capire di quale app puoi fidarti abbastanza da fornirle la tua password.
Questo è il motivo Twitter, tra gli altri, utilizza un processo di autenticazione in cui l'app non conosce mai la tua password.

Avere una password diversa per diversi servizi aiuta nel caso in cui ti sei accidentalmente affidato a uno sviluppatore inaffidabile.
Ma la tua password email è un po 'speciale perché di solito può essere utilizzata per ottenere l'accesso a quasi tutti i servizi usate.

Effettuare le seguenti operazioni: utilizzare l'autenticazione in due passaggi in Google, creare una password specifica per l'app e quindi da questa pagina è possibile controllare l'ultima volta che è stata utilizzata una determinata password. Se corrisponde sempre al tuo ultimo utilizzo di gTask, dovresti essere al sicuro.

Se non è così, puoi revocare la password da lì.

Nota: con questo metodo il lo sviluppatore potrebbe comunque leggere la tua posta, quindi è meglio prevenire che curare. Tuttavia potresti creare un account fittizio e vedere se viene violato.

Qualcosa come un boccino ti aiuterà a determinare se l'app crea una connessione in uscita oltre a una connessione ovvia ai server di Google.

È ancora possibile che l'app invii i tuoi dati all'account Google dello sviluppatore approssimativo ma non ho idea di come verificarlo.

Se non sei sicuro di un'applicazione, cerca le recensioni su Google o almeno un sito web. Se molte persone si lamentano, saprai di non scaricare l'applicazione.

In generale non puoi fidarti di nessuno con i tuoi dati ed è meglio tenerli il più possibile per te. Se devi fornire i tuoi dati, assicurati di utilizzare una password diversa ogni volta. Sarà difficile ricordare tutte le tue password, ma manterrà anche i tuoi account come la tua email o Facebook al sicuro.