Źródłem problemu jest sposób, w jaki Samsung zbudował Secure Folder, który używa tego samego typu użytkownika (android.os.usertype.profile.MANAGED) co rzeczywisty profil służbowy. W rezultacie, przeglądarka zdjęć i aplikacja Permission Controller traktują Secure Folder jako taki profil, co pozwala na ujawnienie aplikacji i zdjęć tam przechowywanych.

Aby uzyskać dostęp do zdjęć i filmów zapisanych w Secure Folder, należy użyć aplikacji zainstalowanej w profilu służbowym (innym niż Samsunga), a nie aplikacji z normalnego profilu. Można do tego wykorzystać aplikację Shelter, która tworzy profil służbowy na dowolnym urządzeniu, który z kolei pozwala na przeglądanie zdjęć i filmów zapisanych w Secure Folder. Problem ten nie obejmuje dostępu do wszystkich plików przechowywanych w Secure Folder, ponieważ przeglądarka plików systemu Android blokuje dostęp do plików Secure Folder innych niz multimedialne nawet poprzez aplikacje innych profili służbowych.

Dodatkowo, w Secure Folder odkryto osobną wadę, która pozwala każdemu zobaczyć, jakie aplikacje są w nim zainstalowane. Można to zrobić przechodząc do Ustawień > sekcji Zabezpieczenia i prywatność > Więcej ustawień prywatności > Menedżer uprawnień i wybierając jedno z uprawnień na liście. Aplikacje Secure Folder mogą być tam widoczne, nawet jeśli Secure Folder jest zaszyfrowany.

Nie dotyczy to jedynie uprawnienia powiadomień, ponieważ jest ono obsługiwane przez aplikację ustawień Samsunga (więc firma ją odpowiednio zmodyfikowała), a nie aplikację Permission Controller systemu Android dostarczaną przez Google (na którą Samsung nie ma wpływu).

Oba problemy nie występują w odpowiedniku od Google, czyli w Private Space z systemu Android 15, która wykorzystuje inny typ użytkownika (android.os.usertype.profile.PRIVATE). Firma Samsung mogłaby teoretycznie naprawić ten problem (w Androidzie 15 i nowszych), zmieniając typ użytkownika Secure Folder, ale nie jest pewne, czy jest to możliwe bez resetowania Secure Folder.

Źródło: Android Authority