Funkciu OnePlus App Locker na OnePlus 3, OnePlus 3T a OnePlus 5 so systémom OxygenOS možno jednoducho obísť spustením aktivity.
Tento problém bol vyriešený v OxygenOS verzia 4.1.7 pre OnePlus 3 a OnePlus 3T.
Softvérová príchuť, ktorá sa nachádza na telefónoch OnePlus, je známa ako OxygenOS. Pridáva niekoľko šikovných funkcií na vrchol systému Android bez toho, aby sa príliš odchýlil od toho, čo by ste očakávali na zariadení Google. Nedávno som sám začal používať OnePlus 5 ako denný ovládač a napriek kontroverziám si myslím, že je to skvelý upgrade pre všetkých fanúšikov radu Google Nexus. S tým, čo bolo povedané, kontrolujem každé nové zariadenie, ktoré dostanem vedľajší aspekt sa mi páči alebo nepáči. Pri prehrabávaní sa v nastaveniach OxygenOS som narazil na funkciu OnePlus App Locker, ktorá zamyká aplikácie, ktoré si vyberiete, za kódom, heslom alebo odtlačkom prsta.
Vľavo: XDA Labs skryté zámkom aplikácií. Vpravo: Informačný kanál XDA je skrytý funkciou App Lock.
Vo všeobecnosti som fanúšikom riešení tretích strán pre požiadavky na funkcie, pretože vám nie sú vnútené a zvyčajne ponúkajú viac funkcií ako riešenie prvej strany. V prípade uzamknutia aplikácie však oveľa radšej uprednostňujem integrované riešenie, ako je OnePlus App Locker, ako by mali byť ťažšie zabíjateľné (teda bezpečnejšie), ako aj rýchlejšie (keďže sa nespoliehajú na služby dostupnosti ani nečítajú zo štatistík používania API). Bol som však šokovaný, keď som zistil, že funkcia uzamknutia aplikácie OxygenOS by mohla byť
ľahko obísť.Vyššie uvedená demonštrácia bola vykonaná na spustenom zariadení OnePlus 5 OxygenOS 4.5.8
Pravdaže, som nepovažujem to za nejakú veľkú bezpečnostnú chybu alebo čokoľvek, ako táto funkcia sa väčšinou používa, keď chcete s niekým zdieľať svoj telefón (dúfajme niekoho, komu už veríš). Ak sa spoliehate na túto funkciu, znamená to, že svoj telefón niekomu odovzdávate už odomknutý, takže nie ako keby tento obtok obchádzal hlavné bezpečnostné opatrenia vášho telefónu ako je heslo/pin/odtlačok prsta alebo iné šifrovacie opatrenia alebo ochrana pred obnovením továrenského nastavenia. Napriek tomu, chyba je chyba, a ak to niekto ako ja, ktorý nie je bezpečnostným výskumníkom, mohol nájsť, potom by to mohol nájsť ktokoľvek.
Vysvetlenie vynechania zámku aplikácie OnePlus
Ako je znázornené vo videu vyššie, skryl som XDA Feed aplikácie za funkciou uzamknutia aplikácie. Ako sa očakávalo, nemôžem otvoriť aplikáciu bez zadania hesla. Ak sa pokúsim prejsť na Nastavenia --> Zabezpečenie a odtlačok prsta --> Zámok aplikácií, zobrazí sa výzva na zadanie hesla. Keď sa však vrátim na domovskú obrazovku a klepnem na tajomnú ikonu aplikácie, ktorú som vytvoril s názvom „OnePlus App Locker Bypass", otvorí stránku nastavení App Locker, kde môžem voľne zakázať akúkoľvek existujúcu aplikáciu zámky.
Prístup k funkcii OxygenOS App Locker zvyčajne vyžaduje zadanie hesla/PIN
Ktokoľvek by mal byť schopný replikovať tento proces na svojom zariadení OnePlus so systémom OxygenOS, ak má spúšťač ako je nainštalovaný Nova Launcher (to by bolo veľa ľudí) alebo akákoľvek iná aplikácia, ktorá sa dá spustiť činnosti. Keďže funkciu uzamknutia aplikácie s najväčšou pravdepodobnosťou používajú ľudia, ktorí chcú skryť iba určité citlivé položky aplikácie (napríklad super tajná aplikácia galérie obsahujúca obrázky úplne vhodné pre rodinu) pri zobrazovaní mimo ich lesklý nový telefón, je nepravdepodobné, že by väčšinu ľudí napadlo skryť svoju spúšťaciu aplikáciu. Okrem toho, keďže neexistuje žiadny spôsob, ako skryť inštalačný program balíka za zámok aplikácie, je možné nainštalovať aj obtokovú aplikáciu, ako je moja vlastná, aby ste obišli OnePlus App Locker.
Ak používate Nova Launcher a ste zvedaví, ako to urobiť, je to jednoduché. Stačí pridať skratku aktivity do „Schránky aplikácií“, ktorá sa nachádza pod „Dashboard“. Jednoduchým klepnutím na túto skratku spustíte nastavenia aplikácie App Locker bez toho, aby ste si vyžiadali heslo.
Aktivita nastavení zámku aplikácií OxygenOS
Nie som si istý, prečo nastavenia App Locker nepožadujú zadanie hesla, keď je aktivita spustená z aplikácie tretej strany. Jedným zo spôsobov, ako to vyriešiť, by bolo jednoducho vykonať aktivitu nevyvezená činnosť takže k nemu nie je možné pristupovať zo žiadnej inej aplikácie.
<activityandroid: label="@string/app_lock_label"android: name=".applocker.AppLockerSettingsActivity"android: screenOrientation="nosensor">
<intent-filter>
<actionandroid: name="com.oneplus.security.action.APP_LOCKER"/>
<categoryandroid: name="android.intent.category.DEFAULT"/>
intent-filter>
activity>The AndroidManifest.xml súbor z com.oneplus.security, ktorého časť je reprodukovaná vyššie, ukazuje, že aktivita pre funkciu OnePlus App Locker je skutočne exportovaná aktivita. Pridávanie android: exported=false Myslím si, že označenie aktivity by malo tento problém vyriešiť.
OnePlus is Aware, opraví sa v aktualizácii OxygenOS
O tomto probléme sme informovali tím OxygenOS a oni to uznali v nasledujúcom vyhlásení:
Sme si vedomí tohto problému a opravíme ho v nadchádzajúcom OTA.
Ak práve teraz používate funkciu App Lock a chcete sa uistiť, že ju nikto nemôže obísť, odporúčam vám pridať akékoľvek spúšťacie aplikácie a aplikácie prehliadača nad vaše existujúce zámky aplikácií. Tento problém podľa môjho názoru nezhoršuje softvérový zážitok OnePlus 5, ale nech je to pripomienka, že akékoľvek bezpečnostné opatrenie môže mať v sebe dieru. Našťastie je tentoraz bezpečnostná diera pomerne malá.