Technische Diskussion zu KNOX - Sammelthread

[frank_m]

Bevor Samsung Knox eingeführt hatte gab es auch den Gerätestatus in den Einstellungen, der entweder "offiziell" oder "benutzerdefiniert" ist.

Richtig. Dessen "Wert" kann man aber auch im Bootloader sehen. Da wird der "System Status" auch angezeigt, als "Official" oder "Custom". Der eigentliche Status wird also auch im Bootloader gespeichert und dort ausgewertet, auch wenn er vom System detektiert wurde.

Aber der Knox Status kann ja gar nicht gesetzt werden, wenn es ihn im alten Bootloader gar nicht gibt.

Sicher? Die Hardware hat Samsung beim Update nicht geändert. Prinzipiell ist die Möglichkeit also da. SELinux war auch von Anfang an auf dem S4. Nur weil wir es nicht gesehen oder gefunden haben, bedeutet es nicht, dass es nicht da war.

Mit diesem Argument müsste man den Knox-Status auch theoretisch wieder zurücksetzen können.

Kommt halt drauf an, wie es implementiert ist.

Ich frage mich, wo der KNOX Status gespeichert wird. Der muss auch auf irgendeiner versteckten Bootloader-Partition liegen, sowie der normale Counter, den sonst würde er ja nach jedem Flash gelöscht werden.

Ja, das ist so. Oder in einem extra Chip.

 

[mrx]

Chainfire vermutet, dass die Knox Flag über eine efuse implementiert ist. Das heißt, dass die Flag nicht mehr im tranditionellen Sinne "gespeichert" wird. Eine efuse ist wie ein Einwegschalter. Man kann es sich wie eine Sicherung vorstellen, die durchbrennt. Die Hardware wird permanent und irreversibel verändert. In diesem Fall kann kein Software-Hack der Welt die Flag wieder auf 0x0 setzen.

Ergänzung: Was dafür spricht, dass es sich um eine efuse handelt: User haben nach dem Update auf eine Knox Firmware versucht den NAND-Speicher mit dem Inhalt vor dem Update zu überschreiben. Es hat nicht geholfen.

 

[mike_galaxy_s]

Dann müsste man das Bauteil austauschen.

Der ursprüngliche Beitrag von 10:23 Uhr wurde um 10:24 Uhr ergänzt:

Sicher? Die Hardware hat Samsung beim Update nicht geändert. Prinzipiell ist die Möglichkeit also da. SELinux war auch von Anfang an auf dem S4. Nur weil wir es nicht gesehen oder gefunden haben, bedeutet es nicht, dass es nicht da war.

Keine Ahnung, das war nur eine Vermutung.

 

[vetzki]

Nur mal kurz fürs Verständnis (hab kein samsung) Knox ist ein geändertes/erweitertes/wieauchimmer SELinux ?
Weil SELinux ist ja ansich (außer evtl. NSA "Abhör/Zugriff/..." Möglichkeit -eher unwahrscheinlich-) kein Problem.

 

[Andi1000]

Eine efuse ist wie ein Einwegschalter. Man kann es sich wie eine Sicherung vorstellen, die durchbrennt. Die Hardware wird permanent und irreversibel verändert. In diesem Fall kann kein Software-Hack der Welt die Flag wieder auf 0x0 setzen

Das wäre ja sehr krass. Kann ich mir fast nicht vorstellen, da das ja pro Gerät Mehrkosten verursachen würde für Samsung und das nur für den Counter.

Oder versteh ich da was falsch?

 

[vetzki]

Das alte motorola defy hatte auch efuses, also kostentechnisch dürfte das kaum eine Rolle spielen

 

[raoul_duke]

hat irgend jemand schon ne seite gefunden wo efuse auf deutsch erklärt ist?

aus dem artikel auf wikipedia werde ich nicht ganz schlau...


ps:
hier beklagt sich jemand dass er spb wallet nicht mehr auf dem N9005 installiert bekommt...
was meint ihr, könnte knox da vielleicht einen riegel vorschieben (weil samsung will dass man jetzt derartige dinge im knox store kauft)?
https://www.android-hilfe.de/forum/.../wie-bekomme-ich-eine-app-kopiert.478778.html

 

[ollborg]

Chainfire vermutet, dass die Knox Flag über eine efuse implementiert ist. Das heißt, dass die Flag nicht mehr im tranditionellen Sinne "gespeichert" wird. Eine efuse ist wie ein Einwegschalter. Man kann es sich wie eine Sicherung vorstellen, die durchbrennt. Die Hardware wird permanent und irreversibel verändert. In diesem Fall kann kein Software-Hack der Welt die Flag wieder auf 0x0 setzen.

Ergänzung: Was dafür spricht, dass es sich um eine efuse handelt: User haben nach dem Update auf eine Knox Firmware versucht den NAND-Speicher mit dem Inhalt vor dem Update zu überschreiben. Es hat nicht geholfen.

Das es eFuse Technik ist, steht im Whitepaper sogar drin. Ich habe diese Stelle hier im Thread schon einmal zitiert vor ein paar Tagen.

Zitat

Secure Boot requires the device boot loader, kernel, and system software to be cryptographically signed
by a key verified by the hardware. Secure Boot uses X.509 certificates and public keys which are embedded
into the boot loader of the device. A secure hash of the certificates is fused into hardware Read-Only
Memory (ROM) at the time of manufacture.

Ich habe nochmal zur eFuse Technik generell recherchiert und folgen Artikel in deutscher Sprache gefunden. Ist sehr verständlich geschrieben.

http://www.itespresso.de/2004/09/07/enterprise-computing-itu-4/

Daraus geht auch hervor das eFuse Systeme anscheinend nicht beliebig oft verstellbar sind.

 

[Nightly]

Chainfire's Kontexte folgend gibts derzeit keinen Weg zurück, demnach müsste man eben dafür sorgen, daß man sich über Knox & Co. erst gar nicht Gedanken machen muss. Bleibt als eine Möglichkeit wohl nur, vor dem Update dafür zu sorgen, daß Knox nebst 'neuem Bootloader' erst gar nicht installiert wird.
Jene, welche sich in gewohnt manischer Manier bereits mit Samsungs neuesten Errungenschaften versorgt haben, sind in diesem Szenario jedenfalls die gekniffenen

 

[frank_m]

Wie gesagt: Neue Firmware mit altem Bootloader scheint nicht uneingeschränkt zu empfehlen zu sein. Es kommt vermehrt zu WLAN- und Sound-Problemen.

Mal ne andere Frage: Wie genau aktiviere ich denn jetzt einen Knox Container? Ich wollte das mal ausprobieren, und einen Container für ausgesuchte Apps erzeugen, um die Auswirkungen etc. mal durchzutesten. Aber ich habe nicht gefunden, wie das geht.

 

[Nightly]

According to Samsung official press release, users will get instant access to Knox container via an icon and benefit of a multitude of secured enterprise applications including browser, email, browser, contacts, calendars, collaboration, file sharing, CRM as well as business intelligence applications. Without any change in the source code, the existing applications in the Android Eco-System have an enhanced security level. The best part of it is that will be available on a range of Samsung Galaxy devices as a pre-installed feature starting with the second quarter of 2013.

...sieht nach einem weiterem Update aus

 

[frank_m]

Ja, schaut so aus. Denn so ein Knox Icon hab ich bislang nicht.

In den Einstellungen unter "Sicherheit" hab ich übrigens gefunden, dass man die "Penetranz" dieser Prevention Information beeinflussen kann. Man kann einstellen, ob die Überprüfung der Apps "Normal" oder "Hoch" ist. Diejenigen, die Probleme mit einigen Apps haben, können ja mal schauen, wo die Option steht.

 

[ollborg]

So wie ich das verstanden habe werden mehrere Knox Apps automatisch eingespielt. Diese sollen das ermöglichen. Ist aber ungesichert aus dem XDA Forum.

Spricht aber für den Einsatz von Richtlinien Updates über das Netz.

Da ich selbst kein neues Rom eingespielt habe, kann ich das nicht testen.

Auch hier ist von den Knox Apps die Rede:

http://allaboutsamsung.de/2013/09/s...elt-update-zur-vorbereitung-auf-knox/?noparse

 

[mike_galaxy_s]

Mir ist gerade eine Idee gekommen, wie man vielleicht den BL downgraden könnte.

Man nimmt eine alte FW, die noch kein KNOX hat und flasht diese ohne BL. Dann könnte man versuchen, über ADB oder über's CWM (man müsste irgendwie eine flashbare .ZIP erstellen) den alten BL zu flashen. Vielleicht könnte das klappen, denn da ist ja noch kein KNOX und SELinux dabei, welches irgendwas blockieren könnte. Vielleicht kann das ja irgendwer mal testen, das wäre interessant zu wissen, ob's funktioniert. Aber Achtung, den BL zu flashen ist extrem gefährlich und falls man ihn zerschießt, dann hilft nur noch ein JTAG.

 

[Nightly]

@ mike:
Das wäre auch per Odin realisierbar https://www.android-hilfe.de/showthread.php?p=6468958 anbei der Link zur Bastelstube ... feel free
Ich vermute aber, dass der neue Bootloader signaturbedingt eine 'erhebliche Verdrängungsresistenz' bezogen auf einen potentiellen Downgrade besitzt und vermutlich direkt mit Komplikationen reagiert.
Soweit ich mich erinnere, müsste man wohl zugleich auch dem Kernel noch neue Töne beibringen ^^

btw: ... ich such ein Spielobjekt
...hat hier zufällig jemand ein entsprechendes mit corrupted IMEI ?

 

[SunSide]

Hier mal zwei Bilder vom Note 3:
Wenn man das Knox Icon im App Drawer antippt sieht man Foto 2, mit "Installieren" Button.
Das erste Bild ist von den Einstellungen bei dem Punkt "Sicherheit".

So sieht es auf dem neuen Note aus, und ich denke beim S4 wird es genauso sein. Zum Container einrichten habe ich nichts gefunden. Wahrscheinlich geht das erst nachdem man den "Installieren" Button benutzt hat.

Edit: Noch ein Bild vom Downloadmode dran gehängt.

 

[ollborg]

Da kommen ja doch noch einige Flags zu den vom S4 bekannten dazu. Ich bin mal gespannt was das Update auf 4.3 beim S4 alles mit an Board hat.

Ich gehe davon aus, das man sich das hier schon einmal anschauen kann.

 

[raoul_duke]

Paar Einblicke was Knox überhaupt ist oder kann. https://www.youtube.com/watch?v=FiKqtq8IhfA&feature=youtube_gdata_player

 

[Hilfe!]

https://www.youtube.com/watch?v=FiKqtq8IhfA&feature=youtube_gdata_player

Nachdem ich mir das Video angsehen habe, wuerde es mich sehr interessieren, inwieweit Samsung die NSA-Expertise in Bezug auf Sicherheit hat mit einfliessen lassen.
Ein besseres, vorinstalliert und nicht wirklich zu entfernendes, Werkzeug koennten die sich nun wirklich nicht wuenschen!
Tunnel direkt am Geraet abgreifen, z.B., der Traum jedes Schnuefflers!

Aber geben wir den 'privaten' Entwicklern mal Zeit, vielleicht finden die befreiende Loesungen.

 

[Kouya1600]

Ich gebe es ja nicht gerne zu, aber anscheinend waren an Knox richtige profis am Werk. Da xda etc. Noch kein Gegenmittel haben.