Функцію OnePlus App Locker на OnePlus 3, OnePlus 3T і OnePlus 5 під керуванням OxygenOS можна легко обійти, запустивши дію.
Цю проблему вирішено в OxygenOS версії 4.1.7 для OnePlus 3 і OnePlus 3T.
Версія програмного забезпечення для телефонів OnePlus відома як OxygenOS. Він додає кілька чудових функцій на додаток до стандартного Android, не надто відхиляючись від того, що ви очікуєте на пристрої Google. Нещодавно я сам почав використовувати OnePlus 5 як щоденний драйвер, і, незважаючи на суперечки, я вважаю, що це чудове оновлення для всіх шанувальників лінійки Google Nexus. Зважаючи на це, я ретельно перевіряю кожен новий пристрій, який отримую другорядний аспект мені подобається або не подобається. Копаючись у налаштуваннях OxygenOS, я натрапив на функцію OnePlus App Locker, яка блокує вибрані вами програми за вашим PIN-кодом/паролем/відбитком пальця.
Зліва: XDA Labs, приховані App Locker. Праворуч: стрічка XDA прихована функцією блокування програми.
Загалом я прихильник сторонніх рішень щодо запитів функцій, оскільки вони не нав’язуються вам і зазвичай пропонують більше функцій, ніж рішення першої сторони. Однак у випадку блокування додатків я віддаю перевагу інтегрованому рішенню, такому як OnePlus App Locker, оскільки вони повинні бути важче вбити (отже безпечніше), а також швидше (оскільки вони не покладаються на служби доступності та не читають зі статистики використання API). Однак я був шокований, виявивши, що функція блокування програми OxygenOS може бути
Наведену вище демонстрацію було виконано на запущеному OnePlus 5 OxygenOS 4.5.8
Правда, я не розглядаючи це як якийсь серйозний недолік безпеки або будь-що, оскільки ця функція здебільшого використовується, коли ви хочете поділитися своїм телефоном з кимось (сподіваюся хтось, кому ти вже довіряєш). Якщо ви покладаєтеся на цю функцію, це означає, що ви передаєте комусь свій телефон уже розблокованим, тому він не так, ніби цей обхід обходить основні заходи безпеки вашого телефону наприклад пароль/пін-код/відбиток пальця або інші засоби шифрування або захист від скидання заводських налаштувань. Все ж недолік залишається недоліком, і якщо хтось, як я, хто не є дослідником безпеки, міг би знайти це, то це міг би знайти кожен.
Пояснення щодо обходу OnePlus App Locker
Як показано на відео вище, я приховав Стрічка XDA програму за функцією блокування програми. Як і очікувалося, я не можу відкрити програму, не ввівши свій пароль. Якщо я спробую перейти до Налаштувань --> Безпека та відбиток пальця --> Блокування програм, мені буде запропоновано ввести пароль. Але коли я повертаюся на головний екран і торкаюся значка таємничої програми для створеної мною програми під назвою "OnePlus App Locker Bypass", він відкриває сторінку налаштувань App Locker, де я можу вільно вимкнути будь-яку існуючу програму замки.
Щоб отримати доступ до функції OxygenOS App Locker, зазвичай потрібно ввести пароль/PIN-код
Будь-хто повинен мати можливість відтворити цей процес на своєму пристрої OnePlus під керуванням OxygenOS, якщо у нього є програма запуску наприклад встановлений Nova Launcher (це буде маса людей) або будь-яка інша програма, яка може запускатися діяльності. Оскільки функція блокування програми, швидше за все, використовується людьми, які хочуть лише приховати певні конфіденційні дані програми (наприклад, суперсекретну програму-галерею, яка містить повністю сімейні фотографії) під час показу від їх новий блискучий телефон, малоймовірно, що більшість людей прийде в голову приховати свою програму запуску. Крім того, оскільки немає способу приховати програму встановлення пакетів за блокуванням програми, можна також встановити програму обходу, як моя, щоб обійти OnePlus App Locker.
Якщо ви використовуєте Nova Launcher і вам цікаво, як це зробити, це просто. Просто додайте ярлик активності в «App Locker», який знаходиться в «Dashboard». Просто торкнувшись цього ярлика, ви запустите налаштування App Locker без запиту пароля.
Активність налаштувань блокування програм OxygenOS
Я не зовсім впевнений, чому налаштування App Locker не запитують введення пароля, коли активність запускається зі сторонньої програми. Один із способів вирішити це – просто зробити діяльність an неекспортована діяльність тому до нього неможливо отримати доступ з будь-якої іншої програми.
<activityandroid: label="@string/app_lock_label"android: name=".applocker.AppLockerSettingsActivity"android: screenOrientation="nosensor">
<intent-filter>
<actionandroid: name="com.oneplus.security.action.APP_LOCKER"/>
<categoryandroid: name="android.intent.category.DEFAULT"/>
intent-filter>
activity>The AndroidManifest.xml файл com.oneplus.security, частина якого відтворена вище, показує, що дія для функції OnePlus App Locker справді є експортованою діяльністю. Додавання android: exported=false до мітки діяльності, я вважаю, має вирішити цю проблему.
OnePlus знає, буде виправлено в оновленні OxygenOS
Ми повідомили команду OxygenOS про цю проблему, і вони визнали це в наступній заяві:
Ми знаємо про цю проблему, і ми будемо виправляти її в майбутньому OTA.
Якщо ви зараз користуєтеся функцією блокування програм і хочете бути впевненими, що ніхто не зможе її обійти, я рекомендую вам додати будь-які програми запуску та програми браузера поверх наявних блокувань програм. Ця проблема, на мій погляд, не применшує роботи з програмним забезпеченням OnePlus 5, але нехай це буде нагадуванням, що будь-який захід безпеки потенційно може мати дірку. На щастя, цього разу діра в безпеці досить незначна.