2 月 25 日消息,科技媒體 Android Authority 昨日(2 月 24 日)發布博文,報道稱三星 Galaxy 手機中的安全文件夾(Secure Folder)應用被曝存在嚴重安全漏洞,在使用“工作”應用情況下��,可能導致存儲在 Secure Folder 中的應用�、照片和其他文件在特定情況下被泄露。Vfa28資訊網——每日最新資訊28at.com
Vfa28資訊網——每日最新資訊28at.com
注:通常情況下�����,三星用戶在 Galaxy 手機上使用某個應用程序���,并嘗試從 Secure Folder 中選擇照片或視頻時��,如果該應用未被授權訪問�����,手機會阻止其訪問這些文件。Vfa28資訊網——每日最新資訊28at.com
Vfa28資訊網——每日最新資訊28at.com
該策略適用于主賬號上使用常規“個人”(Personal)應用,但并不適用于“工作”(Work)應用��,手機并不會阻止對 Secure Folder 文件的訪問���。Vfa28資訊網——每日最新資訊28at.com
該媒體以 Shelter 應用(利用工作賬號實現應用隔離的開源應用)測試�,發現可以復現該漏洞。用戶通過 Shelter 等應用創建工作賬號,可以繞過系統限制�,訪問 Secure Folder 中的照片和視頻��。Vfa28資訊網——每日最新資訊28at.com
在工作賬號下,在“設置”>“安全和隱私”>“更多隱私設置”>“權限管理器”中�����,可查看 Secure Folder 中安裝的應用����。尤其在位置等常用權限中�,更容易發現 Secure Folder 中的應用。即使 Secure Folder 已加密,該漏洞依然存在��。Vfa28資訊網——每日最新資訊28at.com
漏洞原理Vfa28資訊網——每日最新資訊28at.com
該漏洞源于 Secure Folder 的底層設計與工作配置文件相同�����,導致系統將其錯誤識別�����,即使在鎖定的狀態下,也能通過特定方式訪問其中的內容����。Vfa28資訊網——每日最新資訊28at.com
三星 Secure Folder 使用的 android.os.usertype.profile.MANAGED 用戶類型與工作配置文件相同��。Android 系統的圖片選擇器和權限控制器(由 Google 開發的 Project Mainline 模塊)將 Secure Folder 識別為工作配置文件,從而允許訪問其中的照片�����、視頻和應用列表�����。Vfa28資訊網——每日最新資訊28at.com
Vfa28資訊網——每日最新資訊28at.com
Vfa28資訊網——每日最新資訊28at.com
由于三星無法控制這些模塊的行為�����,因此 Secure Folder 的內容會被泄露��。而三星自有的通知權限頁面(位于三星設置應用中)則不會泄露 Secure Folder 中的應用信息���,因為該頁面由三星控制�。Vfa28資訊網——每日最新資訊28at.com
影響和解決方案Vfa28資訊網——每日最新資訊28at.com
該漏洞不涉及 Secure Folder 中所有文件的訪問權限,僅限于照片和視頻����。加密 Secure Folder 可以阻止通過圖片選擇器訪問其中的照片和視頻����。Vfa28資訊網——每日最新資訊28at.com
Vfa28資訊網——每日最新資訊28at.com
根本的解決方案是三星修改 Secure Folder 的用戶類型����,例如采用 Android 15 Private Space 使用的 android.os.usertype.profile.PRIVATE 類型,但這可能涉及復雜的遷移過程�����,甚至需要重置 Secure Folder�。Vfa28資訊網——每日最新資訊28at.com
目前三星尚未對此漏洞做出回應。Vfa28資訊網——每日最新資訊28at.com
本文鏈接:http://www.tebozhan.com/showinfo-24-133072-0.html三星 Secure Folder 失守�����,可查看被鎖圖庫和已裝應用
聲明:本網頁內容旨在傳播知識��,若有侵權等問題請及時與本網聯系�����,我們將在第一時間刪除處理。郵件:2376512515@qq.com
上一篇: 三星 Galaxy Z Fold7 折疊手機搶先看:8.2 英寸巨屏��、2 億像素主攝�、折疊最薄處 9 毫米
下一篇: 三星 Galaxy Z Fold7 折疊手機被曝配新 S Pen 手寫筆�,更粗筆尖改善書寫體驗
津公網安備 12010102000574號