Fitur OnePlus App Locker di OnePlus 3, OnePlus 3T, dan OnePlus 5 yang menjalankan OxygenOS dapat dengan mudah dilewati dengan meluncurkan suatu aktivitas.
Masalah ini telah diperbaiki OksigenOS versi 4.1.7 untuk OnePlus 3 dan OnePlus 3T.
Rasa perangkat lunak yang ditemukan pada ponsel OnePlus dikenal sebagai OxygenOS. Ini menambahkan beberapa fitur bagus di atas stok Android tanpa menyimpang terlalu jauh dari apa yang Anda harapkan di perangkat Google. Saya baru-baru ini mulai menggunakan OnePlus 5 sebagai driver harian, dan meskipun ada kontroversi, menurut saya itu a peningkatan yang bagus untuk semua penggemar lini Google Nexus. Karena itu, saya meneliti setiap perangkat baru yang saya terima aspek kecil yang saya suka atau tidak suka. Saat menelusuri pengaturan OxygenOS, saya menemukan fitur OnePlus App Locker yang mengunci aplikasi yang Anda pilih di balik pin/kata sandi/sidik jari Anda.
Kiri: Lab XDA Tersembunyi oleh App Locker. Kanan: Umpan XDA Disembunyikan oleh Fitur Kunci Aplikasi.
Saya biasanya menyukai solusi pihak ketiga untuk permintaan fitur karena solusi tersebut tidak dipaksakan kepada Anda dan biasanya menawarkan lebih banyak fitur daripada solusi pihak pertama. Namun, dalam kasus kunci aplikasi, saya lebih memilih solusi terintegrasi seperti OnePlus App Locker sebagaimana mestinya. lebih sulit untuk dibunuh (sehingga lebih aman) serta lebih cepat (karena mereka tidak bergantung pada Layanan Aksesibilitas atau membaca dari Statistik Penggunaan API). Namun saya terkejut saat mengetahui bahwa fitur kunci aplikasi OxygenOS bisa digunakan dengan mudah dilewati.
Demonstrasi di atas dilakukan pada OnePlus 5 yang sedang berjalan OksigenOS 4.5.8
Memang benar, saya memang demikian tidak menganggap ini sebagai kelemahan keamanan utama atau apa pun karena fitur ini paling banyak digunakan ketika Anda ingin berbagi ponsel Anda dengan seseorang (mudah-mudahan seseorang yang sudah kamu percayai). Jika Anda mengandalkan fitur ini, itu berarti Anda menyerahkan ponsel Anda yang sudah tidak terkunci kepada seseorang, jadi itu bukan berarti bypass ini mengabaikan langkah-langkah keamanan utama ponsel Anda seperti kata sandi/pin/sidik jari atau tindakan enkripsi lainnya atau perlindungan pengaturan ulang pabrik. Namun, sebuah kelemahan tetaplah sebuah kelemahan, dan jika seseorang seperti saya, yang bukan peneliti keamanan, dapat menemukannya maka siapa pun juga dapat menemukannya.
Penjelasan Bypass Pengunci Aplikasi OnePlus
Seperti yang ditunjukkan dalam video di atas, saya telah menyembunyikannya Umpan XDA aplikasi di balik fitur kunci aplikasi. Seperti yang diharapkan, saya tidak dapat membuka aplikasi tanpa memasukkan kata sandi. Jika saya mencoba membuka Pengaturan -> Keamanan & sidik jari -> Pengunci aplikasi, saya diminta memasukkan kata sandi. Namun ketika saya kembali ke layar beranda dan mengetuk ikon aplikasi misterius untuk aplikasi yang saya buat bernama "OnePlus App Locker Bypass", ini membuka halaman pengaturan App Locker di mana saya dapat dengan bebas menonaktifkan aplikasi apa pun yang ada kunci.
Mengakses fitur OxygenOS App Locker biasanya memerlukan input kata sandi/PIN
Siapa pun dapat meniru proses ini di perangkat OnePlus mereka yang menjalankan OxygenOS jika mereka memiliki peluncur seperti Nova Launcher yang terinstal (akan banyak orang) atau aplikasi lain yang dapat diluncurkan kegiatan. Karena fitur kunci aplikasi kemungkinan besar digunakan oleh orang-orang yang hanya ingin menyembunyikan sensitif tertentu aplikasi (seperti aplikasi galeri super rahasia yang berisi gambar yang benar-benar ramah keluarga) sambil ditampilkan dari mereka telepon baru yang mengkilap, sepertinya sebagian besar orang tidak akan berpikir untuk menyembunyikan aplikasi peluncurnya. Selain itu, karena tidak ada cara untuk menyembunyikan penginstal paket di balik kunci aplikasi, seseorang juga dapat menginstal aplikasi bypass seperti milik saya untuk menyiasati OnePlus App Locker.
Jika Anda menggunakan Nova Launcher dan penasaran bagaimana cara melakukannya, caranya sederhana. Cukup tambahkan pintasan aktivitas ke "App Locker" yang terdapat di bawah "Dashboard". Cukup mengetuk pintasan ini akan meluncurkan pengaturan App Locker tanpa meminta kata sandi Anda.
Aktivitas Pengaturan Pengunci Aplikasi OxygenOS
Saya tidak begitu yakin mengapa pengaturan App Locker tidak meminta entri kata sandi ketika aktivitas diluncurkan dari aplikasi pihak ketiga. Salah satu cara untuk mengatasi hal ini adalah dengan menjadikan aktivitas tersebut sebagai sebuah aktivitas yang tidak diekspor jadi tidak dapat diakses dari aplikasi lain.
<activityandroid: label="@string/app_lock_label"android: name=".applocker.AppLockerSettingsActivity"android: screenOrientation="nosensor">
<intent-filter>
<actionandroid: name="com.oneplus.security.action.APP_LOCKER"/>
<categoryandroid: name="android.intent.category.DEFAULT"/>
intent-filter>
activity>Itu AndroidManifest.xml file dari com.oneplus.security, yang sebagian direproduksi di atas, menunjukkan bahwa memang aktivitas untuk fitur OnePlus App Locker adalah aktivitas yang diekspor. Menambahkan android: exported=false ke label aktivitas seharusnya menyelesaikan masalah ini, saya yakin.
OnePlus Sadar, akan Memperbaiki di Pembaruan OxygenOS
Kami memberi tahu tim OxygenOS tentang masalah ini dan mereka telah mengakuinya dalam pernyataan berikut:
Kami menyadari masalah ini, dan kami akan memperbaikinya di OTA mendatang.
Jika Anda sedang menggunakan fitur Kunci Aplikasi saat ini dan ingin memastikan tidak ada seorang pun yang dapat melewatinya, saya sarankan Anda menambahkan aplikasi peluncur dan browser apa pun di atas kunci aplikasi yang ada. Masalah ini, menurut saya, tidak mengurangi pengalaman perangkat lunak OnePlus 5, namun biarlah ini menjadi pengingat bahwa tindakan keamanan apa pun berpotensi memiliki celah di dalamnya. Untungnya kali ini, lubang keamanannya cukup kecil.