Descobriu-se uma falha no Secure Folder da Samsung que permite que qualquer pessoa veja os aplicativos e fotos armazenados nele. Isso ocorre porque o Secure Folder é configurado como um perfil de trabalho. Os aplicativos Android Settings e Permission Controller o tratam como tal, permitindo que você veja o que está dentro, mesmo quando bloqueado. Se você tem um dispositivo Samsung e deseja manter arquivos, imagens, vídeos ou aplicativos ocultos, é importante estar ciente dessa vulnerabilidade.
Afinal, o que é o Secure Folder?
Se você possui um dispositivo Samsung e deseja manter alguns arquivos, imagens, vídeos ou aplicativos escondidos de outras pessoas, o Secure Folder da Samsung é uma ferramenta útil. Ele cria um novo perfil com seu próprio espaço de armazenamento e bloqueio de tela, mantendo seus aplicativos e arquivos confidenciais privados. Pelo menos, era essa a intenção, até que uma falha no Secure Folder foi descoberta.
A função cria um espaço isolado dentro do seu dispositivo, ideal para guardar informações que você não quer que caiam em mãos erradas. Imagine ter um cofre digital dentro do seu celular, onde você pode armazenar documentos importantes, fotos pessoais ou até mesmo aplicativos que exigem uma camada extra de segurança.
O Secure Folder oferece essa tranquilidade, permitindo que você proteja seus dados com senha, PIN ou biometria. Assim, mesmo que alguém tenha acesso ao seu aparelho, seus arquivos confidenciais permanecem protegidos dentro desse ambiente seguro. Mas, com a descoberta dessa falha, será que ele é realmente tão seguro assim?
É importante ressaltar que o Secure Folder não é apenas para esconder arquivos de outras pessoas. Ele também pode ser usado para proteger seus dados de ameaças virtuais, como malwares e hackers. Ao armazenar informações confidenciais dentro desse ambiente seguro, você dificulta o acesso de criminosos aos seus dados.
Leia também:
Como fotos e vídeos são extraídos do Secure Folder
O usuário do Reddit lawyerz88 descobriu recentemente um método para acessar fotos e vídeos salvos no Secure Folder. Normalmente, se você abre um aplicativo que pede para inserir uma foto ou vídeo usando o seletor de fotos do Android, o Android bloqueia o acesso a itens armazenados no Secure Folder, mesmo que ele esteja desbloqueado. No entanto, isso só acontece se você tentar acessar itens do Secure Folder a partir de um aplicativo “pessoal”, ou seja, um aplicativo em execução no perfil principal. Se você tentar acessar itens do Secure Folder a partir de um aplicativo “de trabalho”, o Android não bloqueia o acesso.
Foi possível replicar essa falha no One UI 7 criando manualmente um perfil de trabalho usando o aplicativo Shelter. Aplicativos como o Shelter podem criar um perfil de trabalho em qualquer dispositivo, o que significa que, desde que alguém tenha acesso físico ao seu dispositivo Samsung, ele pode instalar o aplicativo Shelter para ver quais fotos e vídeos estão salvos no Secure Folder.
Se você já tiver um perfil de trabalho ativado por meio de seu empregador, é possível que essa brecha não funcione se eles o configuraram de forma que os arquivos de trabalho não sejam acessíveis. No entanto, não foi possível verificar se certos perfis de trabalho configurados pelo empregador realmente impedem esse acesso. A questão da segurança dos dados armazenados no Secure Folder, portanto, torna-se ainda mais relevante.
A boa notícia é que essa falha não se estende ao acesso amplo a todos os arquivos armazenados no Secure Folder. Em testes, notou-se que o seletor de arquivos do sistema Android bloqueia o acesso aos arquivos do Secure Folder, mesmo que o seletor de arquivos seja acessado por meio de um aplicativo “de trabalho”. Isso significa que apenas fotos e vídeos correm o risco de serem acessados fora do Secure Folder.
Criptografando o Secure Folder
Uma forma de garantir que fotos e vídeos não possam ser acessados fora do Secure Folder é criptografá-lo. O Secure Folder não é criptografado por padrão, mas você pode criptografá-lo tocando no menu dentro dele e selecionando a opção “**criptografar**”. Isso pausa o Secure Folder para que seus arquivos não possam ser acessados através do seletor de fotos.
A criptografia adiciona uma camada extra de proteção aos seus dados, tornando-os ilegíveis para qualquer pessoa que não possua a chave de descriptografia correta. É como trancar seus arquivos em um cofre com uma combinação secreta, garantindo que apenas você possa acessá-los.
Além de criptografar o Secure Folder, é importante manter seu dispositivo sempre atualizado com as últimas versões do sistema operacional e aplicativos de segurança. Essas atualizações geralmente incluem correções para vulnerabilidades e melhorias na proteção contra ameaças virtuais. Manter seu dispositivo atualizado é uma medida essencial para garantir a segurança dos seus dados.
Outra dica importante é evitar instalar aplicativos de fontes desconhecidas ou não confiáveis. Aplicativos maliciosos podem ser disfarçados de ferramentas úteis ou jogos populares, mas na verdade são projetados para roubar seus dados ou danificar seu dispositivo. Ao baixar aplicativos apenas de fontes confiáveis, como a Google Play Store, você reduz significativamente o risco de ser vítima de um ataque virtual.
Como determinar quais aplicativos estão instalados no Secure Folder
O Android Authority também descobriu uma falha separada no Secure Folder, que permite que qualquer pessoa veja quais aplicativos fazem parte dele. Para ver isso, vá para **Configurações > Segurança e privacidade > Mais configurações de privacidade > Gerenciador de permissões**. Em seguida, selecione uma das permissões na lista. Você pode encontrar aplicativos do Secure Folder listados lá.
Permissões comumente solicitadas, como localização, tendem a listar mais aplicativos do Secure Folder. Este é o caso mesmo quando o Secure Folder é criptografado, o que significa que não há como impedir que os aplicativos do Secure Folder apareçam no gerenciador de permissões.
Notavelmente, a permissão de notificação é uma das poucas permissões que não vaza nenhuma informação sobre quais aplicativos estão no Secure Folder. Isso ocorre porque a página de permissão de notificação é gerenciada pelas Configurações da Samsung em vez do aplicativo Android Permission Controller. Essa distinção é importante porque se relaciona ao motivo pelo qual essa falha existe em primeiro lugar.
Por que aplicativos e fotos no Secure Folder da Samsung estão visíveis fora dele?
A causa dessa falha remonta a como a Samsung construiu o Secure Folder. O tipo de usuário ao qual o Secure Folder da Samsung pertence é android.os.usertype.profile.MANAGED. De acordo com o código-fonte do Android, este é o tipo de usuário “que representa um perfil gerenciado, que é um perfil a ser gerenciado por um Controlador de Política de Dispositivo (DPC). O objetivo pretendido é para perfis de trabalho, que são gerenciados por uma entidade corporativa”. Em outras palavras, o Secure Folder usa o mesmo tipo de usuário que um perfil de trabalho real.
Como resultado, o seletor de fotos do Android e os aplicativos do Permission Controller tratam o perfil do Secure Folder como um perfil de trabalho, já que, internamente, ele funciona como um. O seletor de fotos e o Permission Controller fazem parte dos módulos do Project Mainline, o que significa que são feitos pelo Google, não pela Samsung. Assim, a Samsung não tem controle sobre o comportamento do seletor de fotos e do Permission Controller e, subsequentemente, não pode ocultar os aplicativos do Secure Folder deles. A empresa tem controle sobre seu próprio aplicativo de configurações, no entanto, e é por isso que a página de permissões de notificações no One UI — que faz parte do aplicativo de configurações da Samsung — oculta os aplicativos do Secure Folder.
Vale a pena notar que essa falha não existe com a versão do Google do Secure Folder, ou seja, o Private Space do Android 15. Isso ocorre porque o Google criou um tipo de usuário totalmente novo para o Private Space, android.os.usertype.profile.PRIVATE, que é tratado de forma diferente pelo seletor de fotos e pelos aplicativos do Permission Controller. O Android reconhece quando o perfil privado está bloqueado e, subsequentemente, o oculta do seletor de fotos, do Permission Controller e de outras superfícies do sistema.
Em teoria, a Samsung poderia, portanto, corrigir esse problema alterando qual tipo de usuário o Secure Folder usa internamente. No entanto, provavelmente não é tão simples assim, e nem mesmo é possível migrar o tipo de usuário sem redefini-lo. A empresa foi contatada para verificar se está ciente dessa falha no Secure Folder e se tem planos de abordá-la, mas ainda não houve resposta.
Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.
