Značajka OnePlus App Locker na OnePlus 3, OnePlus 3T i OnePlus 5 koji koriste OxygenOS može se lako zaobići pokretanjem aktivnosti.
Ovaj je problem riješen u OxygenOS verzija 4.1.7 za OnePlus 3 i OnePlus 3T.
Softverska verzija koja se nalazi na OnePlus telefonima poznata je kao OxygenOS. Dodaje nekoliko izvrsnih značajki povrh standardnog Androida bez odstupanja previše od onoga što biste očekivali na Google uređaju. I sam sam nedavno počeo koristiti OnePlus 5 kao svakodnevni vozač i unatoč kontroverzama mislim da je velika nadogradnja za sve ljubitelje linije Google Nexus. Uz to, pomno provjeravam svaki novi uređaj koji dobijem manji aspekt koji mi se sviđa ili nesviđanje. Dok sam kopao po postavkama OxygenOS-a, naišao sam na značajku OnePlus App Locker koja zaključava aplikacije koje odaberete iza vašeg PIN-a/lozinke/otiska prsta.
Lijevo: XDA Labs Hidden by App Locker. Desno: XDA Feed skriven značajkom zaključavanja aplikacije.
Općenito sam obožavatelj rješenja trećih strana za zahtjeve značajki budući da vam se ne nameću i obično nude više značajki od rješenja prve strane. Međutim, u slučaju zaključavanja aplikacije, više volim integrirano rješenje kao što je OnePlus App Locker jer bi trebao biti teže ih je ubiti (dakle sigurnije) kao i brže (budući da se ne oslanjaju na usluge pristupačnosti niti čitaju iz statistike korištenja API). Međutim, bio sam šokiran kada sam otkrio da bi značajka zaključavanja aplikacije OxygenOS mogla biti
lako zaobići.Gornja demonstracija izvedena je na OnePlus 5 koji radi OxygenOS 4.5.8
Doduše, jesam ne tretirajući ovo kao neki veliki sigurnosni propust ili bilo što jer se ova značajka uglavnom koristi kada želite s nekim podijeliti svoj telefon (nadajmo se netko kome već vjeruješ). Ako se oslanjate na ovu značajku, to znači da nekome dajete svoj telefon već otključan, pa je ne kao da ova premosnica zaobilazi glavne sigurnosne mjere vašeg telefona poput lozinke/pina/otiska prsta ili drugih mjera enkripcije ili zaštite od vraćanja na tvorničke postavke. Ipak, greška je mana, i ako bi netko poput mene, koji nije istraživač sigurnosti, ovo mogao pronaći, onda bi to mogao svatko.
Objašnjenje premosnice OnePlus App Locker
Kao što je prikazano u gornjem videu, sakrio sam XDA Feed aplikacija iza značajke zaključavanja aplikacije. Očekivano, ne mogu otvoriti aplikaciju bez unosa zaporke. Ako pokušam otvoriti Postavke --> Sigurnost i otisak prsta --> Spremnik aplikacija, od mene se traži da unesem lozinku. Ali kada se vratim na početni zaslon i dodirnem ikonu tajanstvene aplikacije za aplikaciju koju sam napravio pod nazivom "OnePlus App Locker Bypass", otvara stranicu postavki App Lockera gdje mogu slobodno onemogućiti bilo koju postojeću aplikaciju brave.
Pristup značajki OxygenOS App Locker obično zahtijeva unos lozinke/PIN-a
Svatko bi trebao moći replicirati ovaj proces na svom OnePlus uređaju koji pokreće OxygenOS ako ima pokretač kao što je instaliran Nova Launcher (to bi bila gomila ljudi) ili bilo koja druga aplikacija koja se može pokrenuti aktivnosti. Budući da značajku zaključavanja aplikacije najvjerojatnije koriste ljudi koji samo žele sakriti određene osjetljive aplikacije (kao što je super tajna aplikacija galerije koja sadrži slike potpuno prilagođene obitelji) tijekom prikazivanja off njihov sjajan novi telefon, malo je vjerojatno da bi većina ljudi pomislila sakriti svoju aplikaciju za pokretanje. Nadalje, budući da ne postoji način da se program za instaliranje paketa sakrije iza zaključavanja aplikacije, također se može instalirati zaobilazna aplikacija poput moje da se zaobiđe OnePlus App Locker.
Ako koristite Nova Launcher i znatiželjni ste kako to učiniti, jednostavno je. Samo dodajte prečac aktivnosti u "App Locker" koji se nalazi pod "Dashboard". Jednostavnim pritiskom na ovaj prečac pokrenut ćete postavke App Lockera bez traženja vaše lozinke.
OxygenOS App Locker Postavke Aktivnost
Nisam baš siguran zašto postavke App Lockera ne traže unos lozinke kada se aktivnost pokrene iz aplikacije treće strane. Jedan od načina da se to riješi bio bi jednostavno učiniti aktivnost neizvezena djelatnost tako da mu se ne može pristupiti iz bilo koje druge aplikacije.
<activityandroid: label="@string/app_lock_label"android: name=".applocker.AppLockerSettingsActivity"android: screenOrientation="nosensor">
<intent-filter>
<actionandroid: name="com.oneplus.security.action.APP_LOCKER"/>
<categoryandroid: name="android.intent.category.DEFAULT"/>
intent-filter>
activity>The AndroidManifest.xml datoteka od com.oneplus.security, čiji je dio reproduciran gore, pokazuje da je doista aktivnost za značajku OnePlus App Locker izvezena aktivnost. Dodavanje android: exported=false na oznaku aktivnosti trebala bi riješiti ovaj problem, vjerujem.
OnePlus je svjestan, popravit će to u ažuriranju OxygenOS-a
Obavijestili smo OxygenOS tim o ovom problemu i oni su to potvrdili u sljedećoj izjavi:
Svjesni smo ovog problema i riješit ćemo ga u nadolazećem OTA-u.
Ako upravo sada koristite značajku zaključavanja aplikacije i želite biti sigurni da je nitko ne može zaobići, preporučujem da dodate bilo koji pokretač i aplikacije preglednika povrh postojećih zaključavanja aplikacija. Ovaj problem, po mom mišljenju, ne umanjuje softversko iskustvo OnePlus 5, ali neka ovo bude podsjetnik da svaka sigurnosna mjera potencijalno može imati rupu u sebi. Srećom ovaj put, sigurnosna rupa je prilično mala.