三星 Secure Folder 坠落，可以查看锁定图库和已安装应用程序。

IT 世家 2 月 25 科技媒体日新闻 Android Authority 昨日（2 月 24 日本)发布博文，报道称三星。 Galaxy 移动电话的安全文件夹（Secure Folder）应用程序曝光存在重大安全漏洞，在使用“工作”应用时，可能导致存储 Secure Folder 在特定情况下，中的使用、照片和其它材料被泄露。

IT 世家注：一般情况下，三星用户是 Galaxy 移动电话使用某个应用程序，并尝试从 Secure Folder 在选择照片或视频时，如果应用程序没有被授权浏览，手机将阻止其浏览这些文件。

这种策略适用于常规“个人”在主账户中的使用。（Personal）应用程序，但不适合“工作”（Work）应用程序，手机不会阻止对手。 Secure Folder 浏览文件。

该媒体以 Shelter 应用程序(利用工作帐户实现应用隔离的开源应用程序)检测，发现该漏洞可以复制。用户使用 Shelter 等待应用程序创建工作帐户，可以绕过系统限制，浏览 Secure Folder 照片和视频在中间。

在操作帐户下，在“设置”>“安全与隐私”>“更多隐私设置”>“权限管理器”中，可以查看 Secure Folder 中间安装的应用。特别是在常用的位置等权限中，更容易发现 Secure Folder 在中间使用。即使 Secure Folder 这个漏洞已经加密，仍然存在。

漏洞原理

该漏洞源于 Secure Folder 底层设计与工作环境变量相同，导致系统对其进行错误识别，即使在锁定状态下，也可以通过特定的方式浏览其内容。

三星 Secure Folder 使用的 android.os.usertype.profile.MANAGED 使用者类型与工作环境变量相同。Android 系统的照片选择器和权限控制器(由 Google 研发的 Project Mainline 模块）将 Secure Folder 识别为工作环境变量，然后允许浏览图片、视频和应用列表。

因为三星不能控制这些模块的行为， Secure Folder 内容将被泄露。而且三星自有的通知权限页面(位于三星设置应用程序中)不会泄露。 Secure Folder 由于该页面由三星控制，中的应用信息。

影响及解决方案

这个漏洞不涉及 Secure Folder 对所有文件的访问限制，仅限于照片和视频。加密 Secure Folder 可阻止图片选择器浏览其中的照片和视频。

三星修改的根本解决方案 Secure Folder 选择用户类型，例如 Android 15 Private Space 使用的 android.os.usertype.profile.PRIVATE 类型，但是这会涉及到复杂的转移过程，甚至需要重置。 Secure Folder。

现在三星还没有回应这个漏洞。

本文仅代表作者观点，版权归原创者所有，如需转载请在文中注明来源及作者名字。

免责声明：本文系转载编辑文章，仅作分享之用。如分享内容、图片侵犯到您的版权或非授权发布，请及时与我们联系进行审核处理或删除，您可以发送材料至邮箱：service@tojoy.com