讨论 明文存储的密码、实时位置上传服务器？lua表盘的安全隐患与扩展空间

[Asahi_Qin]

简单来讲，就是lua表盘权限过高引起的问题，但也算是双刃剑

不过可能有点标题党就是了，这些隐患虽然客观存在，但也可以成为推动社区发展的力量，下面就进入正文

在velaos的nuttx shell中，builtin command有很多，以上说的绝大部分都和其中两个命令有关：getprop与setprop（和Android有点像），以及用于网络访问的curl

来看实例吧：
1. 密码

• 获取密码

getprop persist.lockscreen.pin

• 修改密码

setprop persist.lockscreen.pin 000000

如果本来就有密码会立刻生效，没有密码的会在重启后生效

2. 位置
位置会在连接上gnss并进入运动状态时更新

• 由手环更新的位置

getprop persist.gps

数据格式： 不明,经度,纬度,海拔

• 由手机更新的位置

getprop persist.phone_gnss

数据格式：最后一次更新的时间戳,经度,纬度,海拔

3. 网络

网络这一块没什么好说的，内置了curl命令，不过经过测试，curl是可以访问内网网址的，也就是说可以实现不需要interconnect与手机交互



当然,getprop命令可获取的配置其实相当多，直接运行：

getprop

就可以获得所有系统属性了


你可能会注意到，我貌似在小米手环9Pro上使用了一个小程序来执行终端命令，这里提一嘴，实际上后端来源于

小程序 极 快应用特权提升工具

2025-05-30

极，一个为支持Lua的设备开发的快应用提权工具
利用Lua表盘可以执行os.execute以达到对VelaOS的完全控制

应用包名：com.aigik.supermanager
应用版本：Alpha 0.0.1

目前利用本应用的能力，开发了可以在安卓端使用的NSH，文件管理，应用管理等功能
可以轻松导出在手表产生的快应用数据，录音数据到手机上

Q&A：
本应用可以做到那些事情？
在JS应用中可以获取更详细的系统信息，可以访问系统中任意位置的数据，对设备内存直接操作，等等

我自己开发的JS快应用可以使用吗？
可以的，通过极JS快应用，可以授权给其他JS快应用，用户可以自行选择需要提权的JS快应用

这个应用会对我的设备产生危害吗？
不会，但是不排除存在恶意开发者通过本应用取得的权限破坏用户设备，请用户授权给未知应用时擦亮双眼！

我的设备支持这个应用吗？
如果你的设备可以安装诸如，“植物大战僵尸”，“米环管理”，“简易终端”，“字体安装器”和“快应用安装器”等表盘应用，就可以使用本应用。

安装与使用指南：
本应用需要安装
OpenNSH表盘
极-快应用
极-安卓应用...

• 极客之爱
• 回复: 7
• 论坛: 小米手环9 Pro

• 

而这个小程序只是借用了后端实现了部分前端逻辑，所以估计不会发布（或者完善后发布也指不定呢）

但是通过这位大佬的后端，并利用上述特性，说不定会有新的火花出现