Menaikkan FLAG_SECURE pada satu aktivitas lagi


Salah satu pengungkit di belakang layar di Android yang dapat ditarik oleh penerbit aplikasi dan bahkan produsen perangkat di sisi sistem untuk melindungi konten apa pun agar tidak dicuri dengan tangkapan layar dalam bentuk apa pun adalah bendera aman (yaitu FLAG_SECURE untuk pengembang di belakang). Ini bagus untuk menegakkan hak cipta atas kekecewaan para pembenci DRM di mana-mana — ada cara untuk menyiasatinya, tetapi lebih sedikit dari tahun-tahun yang lalu dan, dengan demikian, lebih rumit — tetapi juga bagus untuk melindungi barang di pengelola kata sandi Anda. Tapi apakah Anda benar-benar membutuhkan cakupan semacam itu saat Anda hanya mencoba membagikan kredensial Wi-Fi Anda dengan pengunjung di rumah Anda? Google tampaknya berpikir begitu.

VIDEO ANDROIDPOLICE HARI INI

Penjelajah Android terkenal Mishaal Rahman melanjutkan utas Google Issue Tracker dari kemarin di mana pemilik Pixel 7 aktif Android 13 QPR2 Beta 3 hanya mencoba mengambil screenshot kode QR dari halaman berbagi Wi-Fi — yang, omong-omong, memerlukan autentikasi jika Anda telah mengaturnya untuk mengakses. Namun alih-alih mendapatkan tangkapan layar yang tepat, yang mereka dapatkan hanyalah layar kosong.

android-13-wi-fi-sharing-secure-flag

Kami dapat mereproduksinya di Pixel 6a dengan versi beta yang sama.

“Mengapa saya harus meminta izin Google untuk mengambil tangkapan layar di ponsel saya sendiri,” keluh pelapor, “dan mengapa Google dapat menolaknya? Mengapa Google mencegah saya menggunakan ponsel saya sendiri seperti yang saya inginkan? Apakah wajib menggunakan ROM khusus untuk menikmati perangkat saya sendiri? Saya tidak mengerti.”

Seorang insinyur Google segera menjawab, mengatakan bahwa fitur tersebut berfungsi sebagaimana mestinya dan tidak akan diperbaiki. Sanksi pengguna lebih lanjut dimulai dengan beberapa komentar lagi di hilir.

Rahman mencatat bahwa FLAG_SECURE sebenarnya ditambahkan ke aktivitas berbagi Wi-Fi kembali QPR2 Beta 1sangat diam-diam.

Berbagi kredensial Wi-Fi melalui kode QR kira-kira setengah langkah lebih aman daripada berbagi kata sandi teks biasa, yang tidak dapat Anda lakukan langsung dari menu pilihan jaringan. Itu tidak membantu dalam situasi tertentu di mana Anda mencoba masuk ke jaringan dengan perangkat baru yang tidak mendukung membaca kode QR — yaitu hal-hal besarjika Anda belum pernah mendengarnya — dan Anda tidak dapat mengingat kata sandi yang sebenarnya begitu saja.

Tanpa bendera aman, pengguna dapat mengambil tangkapan layar dan membaca kode QR di perangkat Android rumah mereka untuk mendapatkan kata sandi teks biasa (juga tercantum di bawah kode QR tersebut di Piksel, tetapi tidak semua perangkat Android) yang kemudian dapat mereka masukkan ke perangkat tujuan mereka. Dengan bendera terpasang, semuanya menjadi jauh lebih sulit jika Anda perlu melibatkan perangkat ketiga yang dapat membaca kode QR atau jika Anda perlu melakukan root pada ponsel Anda untuk melewati bendera.

Tapi amit-amit kita harus minta password lagi ke barista atau IT.

By Tobi