Функцию OnePlus App Locker на OnePlus 3, OnePlus 3T и OnePlus 5 под управлением OxygenOS можно легко обойти, запустив действие.
Эта проблема была исправлена в OxygenOS версия 4.1.7 для OnePlus 3 и OnePlus 3T.
Версия программного обеспечения, присутствующая на телефонах OnePlus, известна как OxygenOS. Он добавляет пару отличных функций поверх стандартного Android, не слишком сильно отклоняясь от того, что вы ожидаете от устройства Google. Недавно я сам начал использовать OnePlus 5 в качестве ежедневного водителя, и, несмотря на разногласия, я считаю, что это отличное обновление для всех поклонников линейки Google Nexus. При этом я тщательно проверяю каждое новое устройство, которое получаю, за каждое второстепенный аспект, который мне нравится или не нравится. Копаясь в настройках OxygenOS, я наткнулся на функцию OnePlus App Locker, которая блокирует выбранные вами приложения с помощью вашего PIN-кода/пароля/отпечатка пальца.
Слева: лаборатории XDA, скрытые шкафчиком приложений. Справа: канал XDA скрыт функцией блокировки приложения.
Я вообще поклонник сторонних решений для запросов функций, поскольку они не навязываются вам и обычно предлагают больше функций, чем собственное решение. Однако в случае блокировки приложения я предпочитаю интегрированное решение, такое как OnePlus App Locker, поскольку оно должно быть труднее убить (следовательно, более безопасно), а также быстрее (поскольку они не полагаются на службы доступности и не считывают статистику использования). API). Однако я был шокирован, обнаружив, что функция блокировки приложения OxygenOS может быть отключена. легко обойти.
Вышеупомянутая демонстрация была выполнена на OnePlus 5, работающем КислородОС 4.5.8
По общему признанию, я не рассматривать это как какой-то серьезный недостаток безопасности или что-то еще, поскольку эта функция в основном используется, когда вы хотите поделиться своим телефоном с кем-то (надеюсь, тот, кому ты уже доверяешь). Если вы полагаетесь на эту функцию, это означает, что вы передаете кому-то уже разблокированный телефон, так что это не то чтобы этот обход обходил основные меры безопасности вашего телефона. например, пароль/пин-код/отпечаток пальца или другие меры шифрования или защита от сброса настроек. Тем не менее, недостаток есть недостаток, и если кто-то вроде меня, не являющийся исследователем безопасности, сможет найти его, то любой сможет это сделать.
Объяснение обхода блокировки приложений OnePlus
Как показано на видео выше, я скрыл XDA-канал приложение за функцией блокировки приложения. Как и ожидалось, я не могу открыть приложение без ввода пароля. Если я попытаюсь перейти в «Настройки» -> «Безопасность и отпечатки пальцев» -> «Шкафчик приложений», мне будет предложено ввести пароль. Но когда я возвращаюсь на главный экран и нажимаю на загадочный значок приложения, которое я создал под названием «OnePlus Обход App Locker», открывается страница настроек App Locker, где я могу свободно отключить любое существующее приложение. замки.
Для доступа к функции блокировки приложений OxygenOS обычно требуется ввод пароля/PIN-кода.
Любой сможет воспроизвести этот процесс на своем устройстве OnePlus под управлением OxygenOS, если у него есть программа запуска. например, установленный Nova Launcher (это будет масса людей) или любое другое приложение, которое может запускать деятельность. Поскольку функция блокировки приложения, скорее всего, используется людьми, которые хотят скрыть только определенные конфиденциальные данные. приложения (например, сверхсекретное приложение-галерея, содержащая фотографии, подходящие для всей семьи) при показе от их новый блестящий телефон, маловероятно, что большинству людей придет в голову скрыть свое приложение запуска. Кроме того, поскольку невозможно скрыть установщик пакета за блокировкой приложения, можно также установить обходное приложение, такое как мое, чтобы обойти OnePlus App Locker.
Если вы используете Nova Launcher и вам интересно, как это сделать, это просто. Просто добавьте ярлык активности в «App Locker», который находится в разделе «Панель управления». Простое нажатие на этот ярлык запустит настройки App Locker без запроса пароля.
Активность настроек блокировки приложений OxygenOS
Я не совсем понимаю, почему настройки App Locker не запрашивают ввод пароля, когда действие запускается из стороннего приложения. Одним из способов решения этой проблемы было бы просто сделать это занятие неэкспортированная активность поэтому к нему нельзя получить доступ из любого другого приложения.
<activityandroid: label="@string/app_lock_label"android: name=".applocker.AppLockerSettingsActivity"android: screenOrientation="nosensor">
<intent-filter>
<actionandroid: name="com.oneplus.security.action.APP_LOCKER"/>
<categoryandroid: name="android.intent.category.DEFAULT"/>
intent-filter>
activity> AndroidManifest.xml файл com.oneplus.security, часть которого воспроизведена выше, показывает, что действие функции OnePlus App Locker действительно является экспортированным действием. Добавление android: exported=false Я считаю, что метка активности должна решить эту проблему.
OnePlus в курсе, исправит в обновлении OxygenOS
Мы уведомили команду OxygenOS об этой проблеме, и они признали это в следующем заявлении:
Мы знаем об этой проблеме и исправим ее в ближайшем OTA.
Если вы используете функцию блокировки приложений прямо сейчас и хотите быть уверенным, что никто не сможет ее обойти, я рекомендую вам добавить любые приложения запуска и браузера поверх существующих блокировок приложений. Эта проблема, на мой взгляд, не умаляет возможностей программного обеспечения OnePlus 5, но пусть это будет напоминанием о том, что любая мера безопасности потенциально может иметь дыры. К счастью, на этот раз дыра в безопасности довольно незначительная.