Technische Diskussion zu KNOX - Sammelthread

[frank_m]

Ich habe gerade mal die neue 4.3 extrahiert und mir näher angesehen. Folgende Dateien sind durch ein Zertifikat geschützt:
- boot.img
- recovery.img

- aboot.mbn
- rpm.mbn
- sbl1.mbn
- sbl2.mbn
- sbl3.mbn
- tz.mbn

Heißt: Wenn eine dieser Dateien mit einem ungültigen Zertifikat geflasht wird, dann wird vermutlich der Knox Warranty Counter hochgesetzt. Es fällt auf: System, Hidden und Cache sind nicht durch ein Zertifikat geschützt. Es ist also nach wie vor möglich, modifizierte ROMs zu flashen, ohne dass der Counter erhöht wird, z.B. pre-rooted ROMs.

Sollte man versuchen, die Bootloader aus dem laufenden System heraus auszutauschen, dann müsste man die letzten 6 Dateien allesamt ersetzen. Wenn man allerdings in die Partitionstabelle des S4 schaut, dann gibt es da noch Partitionen, die nicht geflasht werden, und von denen ich nicht einschätzen kann, was sie genau tun (z.B. apnhlos). Möglicherweise spielen die bei Knox auch eine Rolle, und dann ist es denkbar, dass der Bootloader Downgrade schief geht oder nichts bringt. Das ist sicherlich ein heikles Unterfangen.

 

[mike_galaxy_s]

Auf welcher Partition liegt der normale Counter? Liegt der nicht auf mmcblk0boot0 und mmcblk0boot1?

 

[raoul_duke]

Ich hätte da auch noch ne Frage zu Knox.
Da wir es ja offensichtlich nicht los werden mache ich mir so meine Gedanken ob ich das evtl privat sinnvoll nutzen kann.
Oder bin ich darauf angewiesen dass ein Administrator das Richtlinien tool hat und mir Knox einrichtet bevor ich das überhaupt irgendwie verwenden kann?

Mögliche interessante Anwendung für mich wäre ein passwortgeschützter Bereich in dem Photos gelagert sind die in der normalen Galerie nicht auftauchen sollen.

Kann ich sowas alleine am handy selbst einrichten?

 

[ollborg]

Das geht wohl erst mit dem Update auf 4.3. Dort sind die Knox App Funktionalitäten im Rom mit enthalten. Darüber kannst du dann Knox installieren und einen Container erzeugen. Vorausgesetzt Counter 0x0, mit 0x1 braucht man das gar nicht erst versuchen.

Warum dies jemand privat möchte kann ich mir allerdings kaum vorstellen. Aber es gibt ja nichts was es nicht gibt.

 

[raoul_duke]

Das geht wohl erst mit dem Update auf 4.3. Dort sind die Knox App Funktionalitäten im Rom mit enthalten. Darüber kannst du dann Knox installieren und einen Container erzeugen. Vorausgesetzt Counter 0x0, mit 0x1 braucht man das gar nicht erst versuchen.

Warum dies jemand privat möchte kann ich mir allerdings kaum vorstellen. Aber es gibt ja nichts was es nicht gibt.

damit ich meiner Mama nicht aus versehen meine Pimmelbilder zeige wenn ich durch die Galerie blätter

 

[ollborg]

Dazu kannst du diese auch in ein Verzeichnis schieben das mit einem Punkt beginnt. Damit versteckt man unter Android Verzeichnisse.

Z.B. .Pixxxbilder

Das wird in der Galerie nicht angezeigt.

Knox wär dann doch ein wenig Overdosed für eine solch einfache Anwendung...

 

[raoul_duke]

....schon klar, ich versuche ja auch nur der ganzen Nummer irgend einen Nutzwert abzugewinnen damit ich mich leichter damit anfreunden kann diese Art bloatware drauf haben zu müssen.

 

[Beutelbär]

...

Warum dies jemand privat möchte kann ich mir allerdings kaum vorstellen. Aber es gibt ja nichts was es nicht gibt.

warum nicht? Ich kann mir durchaus auch private Anwendungsfälle vorstellen. Ich meine nicht umsonst gibt es ja auch viele User, die sich einen "privaten" Container wünschen (a la FreeOTFE), um dort vertrauliche Dokumente abzulegen. Und wenn jemand Knox dazu nutzen möchte, warum nicht...
Sicherlich gibt es auch zahlreiche andere Möglichkeiten (nicht wenige davon benötigen dummerweise wieder root und einen entsprechenden Kernel), viele sicherlich auch besser geeignet, aber wie immer gilt, dass man es dem Anwender nur schwer vorschreiben kann... Und vorstellen, dass es User mit privaten Anwendungsfällen gibt, kann ich mir schon

Dazu kannst du diese auch in ein Verzeichnis schieben das mit einem Punkt beginnt. Damit versteckt man unter Android Verzeichnisse.

naja, "sicher" ist das sicherlich nicht, wenn du mal ehrlich bist...

 

[ollborg]

Ne, sicher ist das nicht, das habe ich auch nicht gesagt. Aber wenn es nur um die Anzeige in der Galerie gegangen wäre, hätte das seinen Zweck erfüllt.

Ich möchte hier auch nicht den Nutzen von Knox für den ein oder anderen herunter spielen.

Aber es ist halt schon teuer erkaufte "Sicherheit". Wenn man überhaupt von Sicherheit reden kann, die Datenschutzrechtlichen bedenken habe ich ja im Thread ausführlich dargelegt.

Wir müssen abwarten was die Presseanfragen bewirken und ob Samsung die Bedenken ausräumen kann. Mit etwas Glück gibt es schon bald die ersten Artikel durch die Presse dazu. Die Zusagen sind da aber es muss eben auch redaktionell aufgearbeitet werden und einfach ist das Thema ja nicht grade.

 

[erdbeerhexe]

Heißt: Wenn eine dieser Dateien mit einem ungültigen Zertifikat geflasht wird, dann wird vermutlich der Knox Warranty Counter hochgesetzt. Es fällt auf: System, Hidden und Cache sind nicht durch ein Zertifikat geschützt. Es ist also nach wie vor möglich, modifizierte ROMs zu flashen, ohne dass der Counter erhöht wird, z.B. pre-rooted ROMs.
.

Folglich heißt das, wenn man einmal nur den Root Kernel geflasht hat und keine per-rooted rom, dann kann man keinen Knox Container mehr erstellen oder versteh ich das falsch?
Das alleinige flashen eines Rootkernels setzt den Knox Warrenty Counter hoch?

 

[ollborg]

Root und Custom Recovery setzen den Counter hoch.

Anschließend ist nichts mehr zu wolllen mit der Nutzung von Knox.

 

[erdbeerhexe]

Sorry, aber das ist eine Sauerei.
Wenn Knox drauf ist und man dann rooted, ist es verständlich das der Counter hoch geht.
Aber nicht generell und schon gar nicht vor Erscheinung von Knox.

Zumal hieß es nicht, das der Counter beim einfachen Update auch schon gezählt wurde, wenn das schief ging?
Ich meine, da gab es vor kurzem einen Beitrag zu.

 

[Hilfe!]

Fragt sich ob und wann von neuen Geräten wie dem Note 3 [...] eine Google Edition erscheint und in welchen Ländern.

Erst, wenn Android den Pen voll und von alleine unterstuetzt, denke ich.

 

[ollborg]

@erdbeerhexe

Du solltest dir diesen Thread mal gut durchlesen, wenn du Interesse an der Funktionsweise hast.. Knox besteht nicht nur aus der Software Knox. Es hat etliche Subsystem, auch in Hardware.

Wir haben dies hier haarklein aufgedröselt, es ist zu umfangreich um dies zu ständig wiederholen. Also wenn du genau wissen möchtest was Knox ist und wie es tickt. Bitte den Thread lesen und verfolgen.

Der ursprüngliche Beitrag von 15:48 Uhr wurde um 16:43 Uhr ergänzt:

...geht doch nichts über Google Dorks
KnoX

.. ^^informativer als die lausigen White Papers

@ Nightly

Hast du dir die Dokumente mal genau angesehen, wie bei der amerikanischen Defense Information Systems Agency mit Knox vorgegangen wird und was da alles möglich ist....? Es ist wirklich alles machbar damit.... Da bleibt mir die Spucke weg.

Jetzt ist mir zumindest klar was Knox alles kann, die reizen das ja ziemlich aus. Mir ist nun auch klar warum Knox mit der NSA entwickelt wurde und warum ich immer weniger davon wissen will. Das geht ja gar nicht....

So nebenbei:

Interessant ist auch das bei denen Android Geräte nicht desinfiziert werden können sondern vernichtet werden....

 

[r4Mp1n0]

desinfiziert?

 

[ollborg]

Jepp desinfiziert, hat nix mit Knox zu tun. Androide dreckig, dann zerstört. Ich fand das nur heftig. So deren Vorgaben. Wird wohl gemacht wenn ein Mitarbeiter die Agency verlässt und sein Android Gerät abgeben muss oder es eben dreckig wird oder z.B. Bindehautentzündung oder so was umging.

Das steht halt auch in einem dieser Dokumente zu Knox, weil es mit zum Oberbegriff mobile Sicherheit dort gehört.

 

[Nightly]

Kann nun jeder auch mal selbst testen.
Soeben hat Sammobile eine 4.3 ..

..selbst bei7. nochwas ... nein, danke (erst mal nicht ; ...noch komme ich mit altem BL und ohne Knox gut zurecht

 

[frank_m]

Ich hab heute noch mal mit einigen Arbeitskollegen gefachsimpelt. Wir sind übereinstimmend der Meinung, dass man ein pre-rooted ROM flashen kann, ohne den Counter zu erhöhen. Ich werde das nächste Woche mal mit einem frischen S4 testen.

Wir sind uns allerdings nicht sicher, ob dieser Zustand dauerhaft erhalten bleibt. Auch jetzt gibt es ja schon den "Gerätestatus" bei Samsung, der Modifikationen an der System Partition detektiert, und zwar offensichtlich zur Laufzeit des Gerätes. Es ist denkbar, dass ein solcher Dienst früher oder später die Root Dateien entdeckt und damit das Gerät als modifiziert klassifiziert. Wir gehen davon aus, dass dies ebenfalls den Knox Counter beeinflussen wird, auch wenn wir bislang keinen eindeutigen Beleg dafür haben. Oder hat jemand von euch irgendwo eine Aussage dazu gefunden, was passiert, wenn man ohne Knox Counter gerootet hat und danach das ROM nutzte?

Was sicher zur Veränderung des Gerätestatus führt, sind weitere Modifikationen an der Systempartition mit Root Rechten. Adblock, Busybox, einige Sicherheitsapps oder auch "Lost Mobile" Apps verankern sich ja gern in der Systempartition. Wir sind uns ziemlich sicher, dass dies auch den Knox Counter erhöhen würde. Wenn man also Root Rechte hat, muss man sehr vorsichtig damit umgehen und sich genau überlegen, was man damit macht.

 

[mike_galaxy_s]

Wenn man den alten BL hat und eine pre-rooted KNOX-FW ohne dem neuen BL flasht, kann dann trotzdem irgendwie der KNOX-Counter erhöht werden?

 

[frank_m]

Ich glaube nicht. Aber wie ich schon weiter oben geschrieben habe: Nur weil wir es nicht gesehen haben, bedeutet das nicht, dass es nicht da war. Allerdings: Auch Geräte, die schon mal gerootet waren, haben keinen Knox Warranty Counter, wenn sie jetzt mit der MH5 sauber geflasht werden. Von daher gehe ich davon aus, dass der bislang nicht benutzt wurde.

Stelle dich auf WLAN Probleme ein, wenn du das versuchst. Also ich meine, neue Firmware auf alten Bootloadern.