Schlampige Entwickler: So unsicher ist der digitale Tresor des OnePlus 5

Rafael Thiel
8

Prinzipiell ist es begrüßenswert, wenn Hersteller ihre Software mit nützlichen Features erweitern – nur sollten diese dann auch zuverlässig funktionieren. Die Locker-Funktion des OnePlus 5, die Apps eigentlich vor unbefugtem Zugriff schützen sollte, kann simpel ausgetrickst werden.

Schlampige Entwickler: So unsicher ist der digitale Tresor des OnePlus 5

Es ist nicht unüblich, dass das eigene Smartphone sich plötzlich in Händen von Freunden, Partnern oder Familienmitgliedern wiederfindet. Das ist an sich ja auch gar kein Problem, gibt schließlich genug Szenarien in denen das sinnvoll ist – um etwa die laufende Musik zu ändern, ein Video anzuschauen oder sich die Zeit mit einem Game zu vertreiben. Mit dem Locker-Feature von OnePlus geschieht das sogar ohne Sorge, dass peinliche oder sensible Inhalte dabei versehentlich zutage kommen. So zumindest die Theorie, denn in der Praxis sieht es doch dezent anders aus.

OnePlus 5: Entwickler vergessen Hintertür zu schließen

Wie die Kollegen von XDA entdeckt haben, kann der digitale Tresor auf dem OnePlus 5 ohne Fachwissen oder Hochschulabschluss auf einfachem Wege umgangen werden. Dafür ist lediglich eine App erforderlich, die es ermöglicht, Aktivitäten von Anwendungen direkt aufzurufen. Ein prominentes Beispiel dafür ist der Nova Launcher. Dadurch kann, vereinfacht ausgedrückt, ein autonomer Unterbereiche der App ohne Umwege aufgerufen werden – der Play Store besitzt etwa eine eigene Activity, die direkt in die Einstellungen führt.


Beim digitalen Tresor des OnePlus 5 ist das offenbar ähnlich: Die Locker-Funktion ist Teil der Einstellungen und somit über eine Aktivität erreichbar. Das Problem ist nur, dass beim Aufruf der entsprechenden Aktivität keinerlei Passwort, Fingerabdruck oder sonstige Verifikation abgefragt wird. Dabei handelt es sich um einen Fehler der Entwickler, denn Aktivitäten können in Android auch vor Außenzugriff verborgen werden. Das wäre eine Zeile Code gewesen. OnePlus kündigte bereits an, die Sicherheitslücke mit dem nächsten OxygenOS-Update zu schließen.

Quelle: XDA via Caschys Blog

Weitere Themen: OnePlus, OnePlus: Das Unternehmen hinter den „Flaggschiff-Killern“

Neue Artikel von GIGA ANDROID