OnePlus App Locker funkcija OnePlus 3, OnePlus 3T ir OnePlus 5, kuriuose veikia OxygenOS, gali būti lengvai apeinama pradėjus veiklą.
Ši problema išspręsta OxygenOS versija 4.1.7 „OnePlus 3“ ir „OnePlus 3T“.
Programinės įrangos skonis, esantis „OnePlus“ telefonuose, žinomas kaip „OxygenOS“. Jis prideda keletą puikių funkcijų prie „Android“ platformos, pernelyg nenukrypstant nuo to, ko tikėtumėtės „Google“ įrenginyje. Neseniai pradėjau naudoti „OnePlus 5“ kaip kasdienį vairuotoją ir, nepaisant ginčų, manau, kad tai yra puikus atnaujinimas visiems „Google Nexus“ linijos gerbėjams. Tai pasakius, aš kruopščiai tikrinu kiekvieną gautą naują įrenginį smulkmena man patinka arba nepatinka. Naršydamas „OxygenOS“ nustatymuose aptikau „OnePlus App Locker“ funkciją, kuri užrakina pasirinktas programas už PIN kodo / slaptažodžio / piršto atspaudo.
Kairėje: XDA laboratorijos, kurias paslėpė programų užraktas. Dešinėje: XDA sklaidos kanalas, paslėptas programos užrakto funkcijos.
Paprastai esu trečiųjų šalių sprendimų, skirtų funkcijų užklausoms, gerbėjas, nes jie nėra priversti jus ir paprastai siūlo daugiau funkcijų nei pirmosios šalies sprendimas. Tačiau programos užrakto atveju man labiau patinka integruotas sprendimas, pvz., „OnePlus App Locker“, nes jie turėtų būti sunkiau nužudyti (taigi saugesni), taip pat greičiau (nes jie nepasitiki pritaikymo neįgaliesiems paslaugomis arba neskaito iš naudojimo statistikos API). Tačiau buvau šokiruotas, kai sužinojau, kad „OxygenOS“ programos užrakto funkcija gali būti
lengvai apeinamas.Aukščiau pateikta demonstracija buvo atlikta naudojant „OnePlus 5“. OxygenOS 4.5.8
Tiesa, aš nelaikyti to dideliu saugumo trūkumu ar bet ką, nes ši funkcija dažniausiai naudojama, kai norite bendrinti savo telefoną su kuo nors (tikiuosi žmogus, kuriuo jau pasitiki). Jei pasitikite šia funkcija, tai reiškia, kad jau atrakintą telefoną atiduodate kam nors, taigi ne taip, tarsi šis aplinkkelis apeitų pagrindines jūsų telefono saugumo priemones pvz., slaptažodis / PIN kodas / pirštų atspaudas ar kitos šifravimo priemonės arba gamyklinių parametrų atkūrimo apsauga. Vis dėlto trūkumas yra trūkumas, ir jei kas nors kaip aš, kuris nėra saugumo tyrinėtojas, galėtų tai rasti, bet kas galėtų tai rasti.
„OnePlus“ programų saugyklos apėjimo paaiškinimas
Kaip parodyta aukščiau esančiame vaizdo įraše, paslėpiau XDA tiekimas programa už programos užrakinimo funkcijos. Kaip ir tikėtasi, negaliu atidaryti programos neįvedęs slaptažodžio. Jei bandau eiti į Nustatymai -> Sauga ir pirštų atspaudai -> Programėlių saugykla, būsiu paragintas įvesti slaptažodį. Bet kai grįžtu į pagrindinį ekraną ir bakstelėjau paslaptingos programos piktogramą, skirtą mano sukurtoms programėlėms pavadinimu „OnePlus App Locker Bypass“, atidaromas App Locker nustatymų puslapis, kuriame galiu laisvai išjungti bet kurią esamą programą spynos.
Norint pasiekti „OxygenOS App Locker“ funkciją, paprastai reikia įvesti slaptažodį / PIN kodą
Kiekvienas turėtų turėti galimybę pakartoti šį procesą savo „OnePlus“ įrenginyje, kuriame veikia „OxygenOS“, jei turi paleidimo priemonę pvz., įdiegta Nova Launcher (tai būtų daugybė žmonių) arba bet kuri kita programa, kurią galima paleisti veikla. Kadangi programos užrakto funkciją greičiausiai naudoja žmonės, norintys paslėpti tik tam tikrus jautrius dalykus programas (pvz., ypač slaptą galerijos programą, kurioje yra visiškai šeimai tinkamos nuotraukos), rodant nuo jų naujas blizgus telefonas, mažai tikėtina, kad dauguma žmonių susimąstytų paslėpti paleidimo programą. Be to, kadangi nėra galimybės paslėpti paketo diegimo programos už programos užrakto, taip pat galima įdiegti apeiti programą, panašią į mano, kad apeitų „OnePlus App Locker“.
Jei naudojate „Nova Launcher“ ir jums įdomu, kaip tai padaryti, tai paprasta. Tiesiog pridėkite veiklos spartųjį klavišą prie „App Locker“, kurį rasite skiltyje „Dashboard“. Tiesiog palietus šį spartųjį klavišą bus paleistas programų saugyklos nustatymai neprašant slaptažodžio.
„OxygenOS“ programų saugyklos nustatymų veikla
Nesu tikras, kodėl „App Locker“ nustatymai neprašo įvesti slaptažodžio, kai veikla paleidžiama iš trečiosios šalies programos. Vienas iš būdų tai išspręsti būtų tiesiog paversti veiklą neeksportuota veikla todėl jo negalima pasiekti iš jokios kitos programos.
<activityandroid: label="@string/app_lock_label"android: name=".applocker.AppLockerSettingsActivity"android: screenOrientation="nosensor">
<intent-filter>
<actionandroid: name="com.oneplus.security.action.APP_LOCKER"/>
<categoryandroid: name="android.intent.category.DEFAULT"/>
intent-filter>
activity>The AndroidManifest.xml failas com.oneplus.security, kurios dalis pateikta aukščiau, rodo, kad iš tikrųjų „OnePlus App Locker“ funkcijos veikla yra eksportuota veikla. Pridedant android: exported=false į veiklos etiketę turėtų išspręsti šią problemą, manau.
„OnePlus“ žino, pataisys „OxygenOS“ naujinime
Apie šią problemą pranešėme „OxygenOS“ komandai, o jie tai pripažino šiame pareiškime:
Mes žinome apie šią problemą ir ją išspręsime būsimame OTA.
Jei šiuo metu naudojate „App Lock“ funkciją ir norite įsitikinti, kad niekas negali jos apeiti, rekomenduoju pridėti visas paleidimo priemones ir naršyklės programas prie esamų programų užraktų. Mano nuomone, ši problema nesumenkina „OnePlus 5“ programinės įrangos patirties, tačiau tegul tai yra priminimas, kad bet kuri saugumo priemonė gali turėti spragų. Laimei, šį kartą saugumo spraga yra gana nedidelė.