OnePlus App Locker-funktionen på OnePlus 3, OnePlus 3T og OnePlus 5, der kører OxygenOS, kan nemt omgås ved at starte en aktivitet.
Dette problem er blevet rettet i OxygenOS version 4.1.7 til OnePlus 3 og OnePlus 3T.
Softwaresmagen, der findes på OnePlus-telefoner, er kendt som OxygenOS. Det tilføjer et par smarte funktioner oven på lager Android uden at afvige for langt fra, hvad du ville forvente på en Google-enhed. Jeg begyndte for nylig selv at bruge OnePlus 5 som en daglig driver, og på trods af kontroverserne synes jeg, det er en stor opgradering for alle fans af Google Nexus-serien. Når det er sagt, undersøger jeg hver ny enhed, jeg modtager, for hver mindre aspekt, jeg kan lide eller ikke kan lide. Mens jeg gravede rundt i OxygenOS-indstillingerne, stødte jeg på OnePlus App Locker-funktionen, som låser apps, som du vælger, bag din pin/adgangskode/fingeraftryk.
Til venstre: XDA Labs Hidden by App Locker. Til højre: XDA-feed skjult af applåsfunktionen.
Jeg er generelt fan af tredjepartsløsninger til funktionsanmodninger, da de ikke er påtvunget dig og normalt tilbyder flere funktioner end en førstepartsløsning. I tilfælde af en applås foretrækker jeg dog meget en integreret løsning såsom OnePlus App Locker, som de formodes at være sværere at dræbe (dermed sikrere) såvel som hurtigere (da de ikke er afhængige af tilgængelighedstjenester eller læser fra brugsstatistikken API). Jeg var dog chokeret over at finde ud af, at OxygenOS applåsefunktionen kunne være det
let omgås.Ovenstående demonstration blev udført på en OnePlus 5, der kører OxygenOS 4.5.8
Indrømmet, det er jeg ikke behandle dette som en større sikkerhedsbrist eller noget, da denne funktion for det meste bruges, når du vil dele din telefon med nogen (forhåbentlig nogen du allerede stoler på). Hvis du er afhængig af denne funktion, betyder det, at du afleverer din telefon, der allerede er ulåst, til nogen, så det er ikke som om denne bypass kommer uden om din telefons vigtigste sikkerhedsforanstaltninger såsom adgangskode/pin/fingeraftryk eller andre krypteringsforanstaltninger eller fabriksindstillingsbeskyttelse. Alligevel er en fejl en fejl, og hvis en som mig, der ikke er sikkerhedsforsker, kunne finde dette, så kunne enhver.
OnePlus App Locker Bypass Forklaring
Som vist i videoen ovenfor, har jeg gemt XDA feed applikation bag applåsfunktionen. Som forventet kan jeg ikke åbne appen uden at indtaste min adgangskode. Hvis jeg forsøger at gå til Indstillinger --> Sikkerhed og fingeraftryk --> App locker, bliver jeg bedt om at indtaste min adgangskode. Men når jeg går tilbage til startskærmen og trykker på et mystisk app-ikon for en app, jeg har lavet kaldet "OnePlus App Locker Bypass", åbner den App Locker-indstillingssiden, hvor jeg frit kan deaktivere enhver eksisterende app låse.
Adgang til OxygenOS App Locker-funktionen kræver normalt adgangskode/PIN-input
Enhver burde være i stand til at replikere denne proces på deres OnePlus-enhed, der kører OxygenOS, hvis de har en launcher såsom Nova Launcher installeret (det ville være et væld af mennesker) eller enhver anden applikation, der kan starte aktiviteter. Da applåsfunktionen højst sandsynligt bruges af folk, der kun ønsker at skjule visse følsomme applikationer (såsom en super hemmelig galleri-app, der indeholder helt familievenlige billeder), mens de vises af deres skinnende ny telefon, er det usandsynligt, at de fleste mennesker ville tænke på at skjule deres launcher-app. Desuden, da der ikke er nogen måde at skjule pakkeinstallationsprogrammet bag en applås, kunne man også installere en bypass-app som min egen for at komme rundt i OnePlus App Locker.
Hvis du bruger Nova Launcher og er nysgerrig efter, hvordan du gør dette, er det enkelt. Du skal blot tilføje en aktivitetsgenvej til "App Locker", som findes under "Dashboard". Blot at trykke på denne genvej vil starte App Locker-indstillingerne uden at bede om din adgangskode.
OxygenOS App Locker Indstillinger Aktivitet
Jeg er ikke rigtig sikker på, hvorfor App Locker-indstillingerne ikke beder om adgangskodeindtastning, når aktiviteten startes fra en tredjepartsapp. En måde at løse dette på ville være blot at gøre aktiviteten til en ueksporteret aktivitet så det kan ikke tilgås fra nogen anden app.
<activityandroid: label="@string/app_lock_label"android: name=".applocker.AppLockerSettingsActivity"android: screenOrientation="nosensor">
<intent-filter>
<actionandroid: name="com.oneplus.security.action.APP_LOCKER"/>
<categoryandroid: name="android.intent.category.DEFAULT"/>
intent-filter>
activity>Det AndroidManifest.xml fil af com.oneplus.security, hvoraf en del er gengivet ovenfor, viser, at aktiviteten for OnePlus App Locker-funktionen faktisk er en eksporteret aktivitet. Tilføjelse android: exported=false til aktivitetsmærket burde løse dette problem, mener jeg.
OnePlus er opmærksom, vil rette i OxygenOS Update
Vi underrettede OxygenOS-teamet om dette problem, og de har erkendt det i følgende erklæring:
Vi er opmærksomme på dette problem, og vi vil løse det i en kommende OTA.
Hvis du bruger App Lock-funktionen lige nu og vil sikre dig, at ingen kan omgå den, anbefaler jeg, at du tilføjer enhver launcher og browser-apps oven på dine eksisterende applåse. Dette problem forringer efter min mening ikke softwareoplevelsen af OnePlus 5, men lad dette være en påmindelse om, at enhver sikkerhedsforanstaltning potentielt kan have et hul i sig. Heldigvis er sikkerhedshullet denne gang et ret lille et.