Android的“锁定模式(Lockdown Mode)”,可以禁用指纹和人脸识别身份验证,以提高锁屏的安全级别。 程序员 matan-h 报告说,Android 中安装了可以忽略此锁定模式和家长控制的秘密浏览器。
Google has a secret browser hidden inside the settings - Matan-h
https://matan-h.com/google-has-a-secret-browser-hidden-inside-the-settings/
Google has another secret browser - Matan-h
https://matan-h.com/another-secret-browser
根据matan-h的说法,该浏览器是用于从设置屏幕显示隐私政策的,与Chrome等网络浏览器是分开的。 当 matan-h 尝试时,成功地使用该浏览器访问了 YouTube 并播放了视频。
该浏览器不会留下历史记录,并且会自动从会话结束时登录的Google帐户中注销,因此它是一款具有相当高隐私性的浏览器。 此外,父母限制子女浏览内容的家长控制也可以绕过。 但是,如果您每次您按下后退键时,它都不会返回历史记录中的一个地址,而是返回到密码管理设置中,因此似乎不太好使用。
此外,matan-h 发现一个名为“mm”的 JavaScript 对象正在此浏览器中运行。 Matan-H说,如果你检查这个对象的内容,它由三个函数组成,其中两个可能用于设置本地加密密钥,这会导致安全漏洞。
当发现这个浏览器的matan-h向谷歌报告时,谷歌回答说这不是安全漏洞(可能是因为这个秘密浏览器不是很受欢迎),家长控制绕过是“预期行为” 。
然而,当 matan-h 于 2023 年 6 月在他的博客上公开了这个问题时,谷歌在文章发表三天后联系了他,说:“我们将审查你的报告。”
到了2024 年 2 月,matan-h 又发现了一种从“通讯录”应用程序启动浏览器的方法。 在锁定模式下,只有紧急呼叫功能和“联系人”应用程序可用,但似乎可以从注册在“联系方式”上的网站链接启动浏览器。
matan-h向谷歌报告了两种不同的情况:一种是从家长控制绕过,另一种是从Android屏幕锁定绕过。 然而,谷歌似乎没有回应“能够绕过锁定模式的问题”,而是将其与 2023 年 6 月报告的“绕过家长控制的问题”合并。 此外,谷歌回复,“能够绕过Android锁定模式的问题是预期的行为。”
此外,似乎收到了来自Google的以及这种关于重复的令人困惑的消息,“此问题已关闭,因为它可能与另一个问题重叠。” matan-h最后评论说:“我希望你喜欢一个无法追踪的秘密浏览器。”