OnePlus App Locker -ominaisuus voidaan ohittaa helposti

OnePlus App Locker -ominaisuus OnePlus 3:ssa, OnePlus 3T: ssä ja OnePlus 5:ssä, joissa on OxygenOS, voidaan helposti ohittaa käynnistämällä aktiviteetti.

Tämä ongelma on korjattu sisään OxygenOS versio 4.1.7 OnePlus 3:lle ja OnePlus 3T: lle.

OnePlus-puhelimien ohjelmistomaku tunnetaan nimellä OxygenOS. Se lisää pari näppärää ominaisuutta varastossa olevan Androidin päälle poikkeamatta liian kauas siitä, mitä voisi odottaa Google-laitteella. Aloin äskettäin käyttää OnePlus 5:tä päivittäisenä kuljettajana itse, ja kiistoista huolimatta mielestäni se on hieno päivitys kaikille Google Nexus -sarjan faneille. Tästä huolimatta tarkastan tarkasti jokaisen uuden laitteen, jonka saan pieni puoli, josta pidän tai ei pidä. Kaivaessani OxygenOS-asetuksissa törmäsin OnePlus App Locker -ominaisuuteen, joka lukitsee valitsemasi sovellukset PIN-koodin/salasanan/sormenjäljen taakse.

Vasemmalla: XDA Labs, jota App Locker piilottaa. Oikealla: XDA-syöte piilottaa App Lock -ominaisuuden.

Olen yleensä kolmansien osapuolien ratkaisujen fani ominaisuuspyyntöihin, koska niitä ei pakoteta sinulle ja ne tarjoavat yleensä enemmän ominaisuuksia kuin ensimmäisen osapuolen ratkaisut. Sovelluksen lukituksen tapauksessa pidän kuitenkin paljon parempana integroitua ratkaisua, kuten OnePlus App Lockeria, koska niiden oletetaan olevan vaikeampi tappaa (siis turvallisempi) sekä nopeampi (koska ne eivät luota esteettömyyspalveluihin tai lue käyttötilastoista API). Olin kuitenkin järkyttynyt huomatessani, että OxygenOS-sovelluksen lukitusominaisuus voi olla

helposti ohitettavissa.

Yllä oleva esittely suoritettiin OnePlus 5:llä käynnissä OxygenOS 4.5.8

Kieltämättä olen ei pidä tätä suurena tietoturvavirheenä tai mitä tahansa, koska tätä ominaisuutta käytetään enimmäkseen, kun haluat jakaa puhelimesi jonkun kanssa (toivottavasti joku johon jo luotat). Jos luotat tähän ominaisuuteen, se tarkoittaa, että luovutat puhelimesi jo avattuna jollekulle, joten se on ei ikään kuin tämä ohitus kiertäisi puhelimesi tärkeimmät turvatoimenpiteet kuten salasana/pin/sormenjälki tai muut salaustoimenpiteet tai tehdasasetusten palautussuoja. Silti vika on virhe, ja jos joku minun kaltaiseni, joka ei ole tietoturvatutkija, voisi löytää tämän, niin kuka tahansa voisi löytää tämän.


OnePlus-sovelluslokeron ohituksen selitys

Kuten yllä olevasta videosta näkyy, olen piilottanut XDA-syöte sovellus sovelluksen lukitusominaisuuden takana. Kuten odotettiin, en voi avata sovellusta syöttämättä salasanaani. Jos yritän siirtyä kohtaan Asetukset --> Suojaus ja sormenjälki --> Sovelluslokero, minua pyydetään antamaan salasanani. Mutta kun palaan aloitusnäyttöön ja napautan salaperäistä sovelluskuvaketta tekemälleni sovellukselle nimeltä "OnePlus App Locker Bypass", se avaa App Locker -asetussivun, jossa voin vapaasti poistaa olemassa olevat sovellukset käytöstä lukot.

OxygenOS App Locker -ominaisuuden käyttäminen vaatii yleensä salasanan/PIN-koodin syöttämisen

Jokaisen pitäisi pystyä replikoimaan tämä prosessi OnePlus-laitteellaan, jossa on OxygenOS, jos heillä on käynnistysohjelma kuten asennettu Nova Launcher (se olisi paljon ihmisiä) tai mikä tahansa muu sovellus, joka voi käynnistyä toimintaa. Koska sovelluksen lukitusominaisuutta käyttävät todennäköisimmin ihmiset, jotka haluavat vain piilottaa tietyt herkät sovelluksia (kuten supersalainen galleriasovellus, joka sisältää täysin perheystävällisiä kuvia) näyttämisen aikana pois heidän uusi kiiltävä puhelin, on epätodennäköistä, että useimmat ihmiset ajattelisivat piilottaa käynnistyssovelluksensa. Lisäksi, koska paketin asennusohjelmaa ei voi piilottaa sovelluslukon taakse, voisin myös asentaa ohitussovelluksen, kuten omani, kiertääksesi OnePlus App Lockerin.

Jos käytät Nova Launcheria ja olet utelias, miten tämä tehdään, se on yksinkertaista. Lisää vain toiminnan pikakuvake "App Locker" -kohtaan, joka löytyy "Dashboard"-kohdasta. Yksinkertaisesti tämän pikakuvakkeen napauttaminen käynnistää App Locker -asetukset ilman, että se kysyy salasanaasi.

OxygenOS App Locker -asetustoiminto

En ole oikein varma, miksi App Locker -asetukset eivät kysy salasanaa, kun toiminto käynnistetään kolmannen osapuolen sovelluksesta. Yksi tapa ratkaista tämä olisi tehdä toiminnasta yksinkertaisesti viemätöntä toimintaa joten sitä ei voi käyttää mistään muusta sovelluksesta.

<activityandroid: label="@string/app_lock_label"android: name=".applocker.AppLockerSettingsActivity"android: screenOrientation="nosensor">
<intent-filter>
<actionandroid: name="com.oneplus.security.action.APP_LOCKER"/>
<categoryandroid: name="android.intent.category.DEFAULT"/>
intent-filter>
activity>

The AndroidManifest.xml tiedosto com.oneplus.security, josta osa on toistettu yllä, osoittaa, että OnePlus App Locker -ominaisuuden toiminta on todellakin vietyä toimintaa. Lisätään android: exported=false toimintotunnisteen pitäisi mielestäni ratkaista tämä ongelma.


OnePlus on tietoinen, korjaa OxygenOS-päivityksessä

Ilmoitimme tästä ongelmasta OxygenOS-tiimille, ja he ovat tunnustaneet sen seuraavassa lausunnossa:

Olemme tietoisia tästä ongelmasta ja korjaamme sen tulevassa OTA: ssa.

Jos käytät App Lock -ominaisuutta juuri nyt ja haluat varmistaa, että kukaan ei voi ohittaa sitä, suosittelen, että lisäät kaikki käynnistys- ja selainsovellukset olemassa olevien sovelluslukkoidesi päälle. Tämä ongelma ei mielestäni vähennä OnePlus 5:n ohjelmistokokemusta, mutta olkoon tämä muistutus siitä, että missä tahansa turvatoimenpiteessä saattaa olla aukko. Onneksi tällä kertaa turva-aukko on melko pieni.