Waar is dan een security risico? Volgens de bugmelding in jouw link werkt het toegevoegen van nieuwe users juist niet! Ik lees uit jouw tekst het tegenovergestelde dan wat de bugreporter zegt:

"The add Users from Lock Screen isn't working - Additional users cannot be added using this feature when the phone is locked"

Geen security bug maar een niet werkende feature?

Ik zie het al. Je 2 links spreken elkaar tegen. Jouw bericht inhoudelijk niet. Dit is wat iedereen voor zichzelf moet controleren.

En de oude bug in Android 10 waar jij over spreekt vorig jaar gapatcht:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2233

De guest user verwijderen kan ook onder de opties vallen voor wie met profielen werkt.

In sommige profielen kun je je internet traffic volledig blokkeren als je een container wil.

De profielen worden apart versleuteld en de seeds worden uit het geheugen gewist als je een sessie beeindigd.

Ik zie altijd uit naar jouw bijdragen hier Erik. Ook wat betreft Android en iPhone security.

Dit was een feature waarom gevraagd werd.

Door wie, waarom en wanneer dan?

en
Sorry, mijn link naar https://forums.oneplus.com/threads/add-users-from-lock-screen-not-working.1072173/ is fout! Ik meende eerder daar deze bug gezien te hebben en heb deze pagina gelinked zonder goed te lezen. Mijn excuses!

Dank voor de link! Erg wijs word ik niet uit die pagina, maar als ik doorklik naar https://source.android.com/security/bulletin/2019-11-01, zoek op CVE-2019-2233 en klik op de reference A-140486529 rechts daarvan, kom ik uit op https://android.googlesource.com/platform/frameworks/base/+/aaba8ef289dee0c143b3dc0fe47e6b9595f22c65 en de tekst daarin klinkt wel of het iets te maken heeft met de bug die ik beschrijf.

Echter, de bug in Google's Pixel smartphone is ook te zien in een filmpje: https://youtu.be/E3JYZvDaHww. De maker daarvan realiseerde zich kennelijk niet dat er een relatie is/was met het inloggen (door de admin-user) met een vingerafdruk, zie https://gist.github.com/roycewilliams/8d77f89953bdd98dfcc3ce5db698279d. Opvallend in die pagina is een verwijzing naar https://issuetracker.google.com/issues/140447135 met dus een ander reference-nummer dan kennelijk horend bij CVE-2019-2233. Overigens is issue 140447135 nog steeds gelocked (na inloggen op mijn google account krijg ik een "access denied"). Zie ook https://twitter.com/ChadBrubaker__/status/1169127930376704002.

Ik kan profielen wissen (dat is niet mijn probleem), maar de guest user kan altijd opnieuw inloggen onder de beschreven omstandigheden.

Ik begrijp niet goed wat je hiermee bedoelt?

Als dat klopt zou dat de schade kunnen beperken, maar de vergroting van het aanvalsoppervlak door een ander account te kunnen activeren vind ik onacceptabel. Als ik wat getest heb met een ander account moet ik dus niet vergeten om ondersteuning voor meerdere accounts uit te zetten (of ik zou inloggen met vingerafdruk uit moeten zetten). Als alternatief zou ik voortaan met een non-admin account kunnen gaan werken, maar dat is uitzoekwerk (heb ik daar bijv. een ander Google account voor nodig, zijn er apps die niet meer werken en ik kan de impact bij evt. problemen niet goed inschatten).

Dank! Deze bug was mij al eerder opgevallen en stond op mijn lijstje om verder uit te zoeken. Na het artikel op zdnet moest het er maar eens van komen. Wel heel suf van mij dat ik linkte naar een OnePlus forum post waarin juist het tegendeel van deze bug wordt beschreven :-(

Anyway, mijn OnePlus 6 heeft de laatste security updates, dus begrijp ik niet waarom deze bug nog aanwezig is (en vraag me af of OnePlus nog meer Android security patches niet heeft overgenomen). Ik ben benieuwd of dit ook op andere smartphones (met Android >= 10) dan mijn OnePlus 6 speelt - en het wellicht niet aan OnePlus verweten kan worden.

Als je jouw smartphone door een ander laat gebruiken is het in principe verstandig om opzettelijk misbruik en ongelukjes zoveel mogelijk te voorkomen, maar ik denk dat er risico's bestaan die de meeste mensen zich niet allemaal zullen realiseren.

Voor jezelf kan het handig zijn om met één smartphone werk en privé zoveel mogelijk te scheiden. Zelf vind ik het soms handig om testjes te doen met minimale risico's voor mijn gewone account. Echter, vooral features die niet veel worden gebruikt kunnen buggy zijn - en lang blijven.

Maak je geen zorgen om 1 fout gekopieerd linkje Erik, ik heb zoveel brainfog dat het lezen van lange artikelen mij al opbreekt. En dat is lastig als je wil werken of iets productiefs wil doen. Het zijn mijn demonen zeg maar. :-)

Welke Android versie heb je dan dat deze bug bestaat op jouw telefoon? Het is ruim een jaar geleden toch echt gefixt in AOSP dus het Android One programma als het Go programma moeten deze overal hebben doorgevoerd intussen. Maar de ene fabrikant update minder snel en frequent dan de andere. Zelfs FairPhone en Xiaomi liggen achter op Nokia met updates.

User profiles worden sinds Android 5.5 al versleuteld. Dus heb je het wachtwoord van 1 user dan heb je nog geen toegang tot de ander. Die douanier ziet toch alle users. Die wil toegang tot het hoofdprofiel. Misschien merkt hij dan niet dat je nog andere profielen hebt met een wachtwoord dat jij niet weet "want het is van een vriend die je telefoon ooit leende". In dat profiel bewaar je de pikante fotos bijvoorbeeld en je zet er een dooie VPN op die system enforced alle non VPN filtert. Zo heb je dus een prive container en als je dat profiel wist hoef je je telefoon niet te shredden immers je profielen zijn apart versleuteld op het filesystem.

Ik raad aan om onbetrouwbare apps zoals bijv Torbrowser gebaseerd op een buggy Firefox (ESR) in een apart profiel te zetten. Ik heb dat zelf niet gedaan omdat ik dat niet zo praktisch vind.

Het is me niet zo duidelijk wat voor rechten die guest user heeft ten opzichte van eeen andere user. Wel is het zo dat een deel van de systeeminstellingen van de 1ste user en de opvolgende niet allemaal gemodificeerd kunnen worden. Android is daar niet duidelijk in (ze kunnen met een leesteken laten zien welke settings geset zijn in de admin user). Ook is er geen mogelijkheid de admin user als template te gebruiken die je makkelijk kunt dupliceren. Zodat je kunt rommelen en met een swipe weer een nieuwe maar naar eigen wens geconfigureerde telefoon hebt. Of je moet met de import/export functie werken. Daar zouden devs eigenlijk een knop naast moeten maken. Een duplicate profile knop. Met de huidige gang van zaken bij Google kun je beter elke 3 maanden je telefoon volledig wissen, dat is veiliger en prettiger.

Ook mogen ze een switch maken in System onder Network voor de emergency dial die je nu opgelegd wordt op de voorpagina. Ik hoor daar vaker klachten over terwijl het zo simpel op te lossen is door het een userkeuze te maken.

Als ik eenmaal ga kijken naar wat er beter kan bij Google Android dan gaan me de oren klapperen. Vanuit usability perspectief. Ik kijk maar de andere kant op anders ga ik me ergeren. Android bestaat ook alleen maar bij de gratie van vrijwilligers aan de ene kant en corporate criminele profiteurs aan de andere kant. Hoe kun je Alphabet serieus nemen met de vreemde dingen die zij soms doen. Het moet veilig maar niet te veilig en ga zo maar door. Ze hebben geen visionary als Steve Jobs, alleen maar een heleboel tweedehandse ideeen waarvoor de originele bedenkers nauwelijks credit krijgen. Het is een soort 100 tegen 1 spel aasgieren industrie. Van andere hoeken hoeven we geen OS te verwachten want die houden zich alleen maar bezig met achterhaalde scams, gebruik makend van de goedheid van vrije software architecten. Ja misschien dat China nog eens wat in elkaar zet wat niet zo slecht geprogrammeerd is als hun export IoT devices maar tegen die tijd zijn wij weer 10 jaar verder.

Dank voor jouw reactie! Android 10, OxygenOS v10.3.10, Buid number A6003_22_210420 (A6003 is het model nummer, ik vermoed dat die laatste 6 cijfers staan voor 20 april 2021).

Zoals ik al eerder schreef is misbruik mogelijk (bijv. automatisch inloggen bij T-Mobile tenzij je weet dat je dat dicht kunt zetten en dat ook doet). Met toegang tot bellen en SMS zie je historische en nieuwe SMS-jes en kun je mogelijk webaccounts overnemen. Als een aanvaller daarmee mensen belt of SMS't zien ze mijn nummer als afzender. Ik heb geen tijd en zin om over nog meer kwetsbaarheden na te denken of te gaan hacken, maar ik twijfel er niet aan dat ik dan nog meer vind. Dit is gewoon ern ernstig lek, vooral als een kwaadwillende jouw smartphone in deze staat vindt of steelt.

Ik gebruik geen Tor maar extra profielen zijn soms wel handig om tests mee te doen.

Is helaas niet duidelijk inderdaad.

Los van wie er belt ziet 112 waarschijnlijk wel waarvandaan je ongeveer belt.

Er wordt waarschijnlijk een balans gezocht tussen smaken, gebruiksgemak en -in de laatste plaats- security.

Helaas zie ik nog geen reacties van gebruikers met andere Android toestellen die wel of niet deze bug hebben?

Ik gebruik zelf een chromebook en daar kun je dit ook doen, maar ik zie het niet als een bug. Zo'n guest of extra aangemaakte user kan het device alleen gebruiken maar kan er verder niets aan veranderen.
Ja een factory-reset doen maar dat kan iedereen die het device fysiek in handen heeft sowieso doen (ook met Android!).
Of je er daarna nog wat aan hebt hangt overigens af van een aantal zaken maar dat valt buiten dit topic.

Ik weet niet wat guest kan maar een andere user kan systeeminstemlingen aanpassen en je kunt zelfs een aparte VPN per profiel instellen.

En SMS als 2FA is sowieso omveilig want je bouwt met wat kennis voor minder dan 2000 eur een snooper die in jouw buurt SMsjes onderschept en decodeert.

Mogelijk heb ik het niet duidelijk genoeg uitgelegd, maar het probleem is dat ik, in de instellingen, "multiple users" toesta maar tegelijkertijd uitzet: "Add users from lock screen".

Vervolgens wordt mijn smartphone gestolen. Zonder mijn pinkafdruk (en irritant lange wachtwoord) komt de dief niet in mijn account, maar ondanks de instelling "Add users from lock screen: NO" kan de dief toch naar believen nieuwe accounts aanmaken (vanaf het locked screen) en daarmee inloggen.

Hoezo is dat geen security-bug?

Inderdaad is SMS als 2FA onveilig, maar in veel gevallen bepaal niet jij of dat gebruikt kan worden. Bovendien zullen IMSI-catchers e.d. hooguit bij specifieke targeted attacks worden ingezet.

Met een goede security-mindset (denken als aanvaller) ga je niet zitten bedenken op welke manieren een cybercrimineel geen (of, bij zo'n security issue, juist met andere middelen) extra geld kan "verdienen" aan een gestolen smartphone.

Shit ik heb toevallig een Pixel gekocht voor gaming onlangs en die heeft deze bug. Ik heb wat fouts gedaan en deze heeft deze bug.

Il hoop dqt er niet.meer van dat soort bugs inzitten. De multiuser heb ik uitgezet. Ik zal dus gewoon wat vaker een factory reset doen bijv elke 2 maanden om alle rommel van het toestel te wissen. Dan heb je tenminste zekerheid.

Dank u wel Erik voor de waarschuwing.

Graag gedaan!

Andere bezitters van Android smartphone, zien jullie deze bug ook?

Zojuist heb ik mijn OnePlus 6 Android smartphone geüpdated naar versie 10.3.11. Daarmee lijkt deze bug verholpen!

Wel op een wat vreemde manier: zelfs als ik "Add users from lock screen" toesta (bij ondersteuning voor multiple accounts ingeschakeld) kan ik (of een dief), vanaf het gelockte scherm, geen gebruikers toevoegen en/of als guest inloggen - althans niet dat ik kan vinden.

Voor de zekerheid zet ik die instelling toch maar op disabled; wie weet wordt de nieuwe "bug" (dat nu aanzetten niet werkt, terwijl hiervoor uitzetten niet werkte bij inloggen met vingerafdruk als "admin") gefixed bij een volgende update. Overigens kan ik me geen omstandigheden voorstellen waarbij je "Add users from lock screen" zou willen.

Dank voor de reacties! Natuurlijk blijf ik wel benieuwd of deze bug op andere Androidt smartphones optreedt.

Er zijn soms ouders die de telefoon even aan hun kind geven om een spelletje te spelen.
Mogelijk handig dat ze dit dan even op een ander account doen...

Absoluut (alhoewel ik mij afvraag hoeveel mensen weten dat Android meerdere accounts ondersteunt). Als een jong neefje of nichtje iets met mijn smartphone zou willen, zou ik hier waarschijnlijk gebruik van maken.

Maar nogmaals, multiple accounts is/was niet het probleem ;-)