Technische Diskussion zu KNOX - Sammelthread

[flosch1980]

Schon ok, habe ich wohl erst falsch aufgefasst.

Hatte nur gedacht, da man sich bei Garantiefragen ja auch mit dem Support rumärgern muss ist die Aussage auch hilfreich.

 

[r4Mp1n0]

hatte auch nochmal überlegt in den Chat zu gehen und hoffen jemand anderen an die strippe zu bekommen, mal sehen ob sie alle die selben Infos haben

 

[Nightly]

das steht morgen auf meiner Agenda ^^Pizza, Root Bier und Chats mit Support Mitarbeiter.... ^^

 

[newtom]

Klingt doch nett

 

[Nightly]

"Nett" ...ist der kleine Bruder von *****

Following is a survey of the various layers in the KNOX security stack.It all starts at the*Platform Security*layer. This is the best part of the story, in my opinion. At the lowest level, Samsung implements an “Integrity Measurement Architecture” based onARM TrustZone*technology, to continually monitor the integrity of the Linux kernel, the underlying kernel in the Android operating system stack. What this means is that Samsung leverages hardware to help ensure that the operating system running on top of it hasn’t been compromised. At the operating system level KNOX enabled devices will run Security Enhanced Android (aka SE Android) and provide a “secure boot” feature to ensure “that only verified and authorized software can run on the device.”Next up is the*Application Security*layer. This layer is the one currently getting all of the attention due to the aforementioned KNOX Container. However, this layer encompasses two other capabilities that are at least as important from an overall security perspective. They include an encrypted file system and a native VPN.* Currently the KNOX VPN is IPSec based. I personally would like to see an SSL based VPN option provided at some point. Many enterprises outside of the Federal Government, are moving, or have moved, to SSL VPN’s because it is simpler to deploy in the IT infrastructure.Samsung also provides a*Mobile Device Management*layer. There’s no surprise here; Samsung has provided a good level of manageability since it introduced it’s SAFE program. IT administrators who have a need for device management will be able to manage KNOX enabled devices from the leading MDM solutions, including*AirWatch,*MobileIron, etc.

.....:screwy:

 

[Hilfe!]

[...]
nur man kennt es halt.. der Support sagt irgendwas zu oder auch nicht und die Firma an sich dementiert es dann etc pp[...]

'Einen Moment, ich informiere mich eben.'

Das sagt doch alles: Stoebern in der FAQ
Und auch nicht wirklich hinhoeren/mitbekommen, worum es geht:

Ich kann nicht nachvollziehen, warum nach einem Softwareupdate beim Counter eine 1 steht.
Bei der Installation von Updates wird dieser Counter auch nicht hoch gesetzt.

Das hat dann Auswirkungen auf die Garantie.

Callcenter, Auftragsarbeiter. Ich weiss garnicht, sitzt Samsung 'support' fuer D. auch in Polen? Oder sind die noch nicht so weit (weg)?
Ich bin mir recht sicher, sie hat die verschiedenen FAQ's miteinander kombiniert. Immerhin hat sie Knox gefunden. Hat sie doch, oder?

Ich gehe davon aus, dass sich Knox nicht auf die Garantie Ihres Smartphones auswirkt.

Irgendwie bin ich mir nicht so wirklich sicher. Ich bin der Ansicht, der Support wird fuer Freundlichkeit bezahlt. Und FAQ's lesen koennen. In der benoetigten Sprache. Dann bleibt der Kunde ruhig und bekommt die Adresse des Servicepoints. Wenn die FAQ das anraet, zu dem Suchbegriff


Der ursprüngliche Beitrag von 07:11 Uhr wurde um 07:13 Uhr ergänzt:

hatte auch nochmal überlegt in den Chat zu gehen [....] , mal sehen ob sie alle die selben Infos haben

Solange sie das selbe Suchwort in die FAQ-Maske eingeben: Sehr zu vermuten!

 

[Gnampf]

was mich mehr und mehr stört ist dieser unglaubliche widersinn. Man liest:

Problem

On most Android devices, the Android Boot Loader does not verify the authenticity of the kernel it is loading. Those who want more control over their device can install a hacked Android kernel that roots a device, giving them superuser access to all data files, apps, and resources. Unfortunately, if the hacked kernel is corrupted, this can result in a denial of service. If the kernel contains malware, this can compromise the security of your organization's information.

und

“secure boot” feature to ensure “that only verified and authorized software can run on the device.”Next up is the*Application Security*layer

dabei wird man doch förmlich dazu gezwungen auf "unsichere bootloader" auf mods und "hacked kernel" zurück zu greifen, nur damit man vollen Zugriff auf sein Gerät hat.

Ich meine ich finde Cyanogen, CWM und Modding usw usw auch klasse bei älteren Geräten, vor allem wenn es dort kein Update mehr gibt vom Hersteller und auch für Enthusiasten die mit den neuesten Geräten arbeiten- man kann da sicher seinen Spaß dran haben und sei auch jedem gegönnt, so ein Teil ist ja auch schon ein faszinierendes Stück technik. Wenn dort dann jemand einen Garantieverlust hat, kann ich das auch durchaus nachvollziehen, da hier durchaus die Möglichkeit besteht die Hardware zu beschädigen.

Mir fällt da allerdings eher zu ein das ich "nur" ein sauberes Handy haben möchte- also, bitte Samsung, wenn ich kein Custom Rom und Bootloader nutzen soll, dann gib mir bitte Root Rechte bei Bedarf, von mir aus über einen DualBoot, damit es nicht immer im Root laufen muss und wenn es denn im Root läuft dann darf von mir aus auch Knox deaktiviert sein, damit dürfte doch dann jeder Glücklich werden.

Sowieso- mit welcher Begründung hat eigentlich der normale User keine Möglichkeit auf Root für das teure Stück? Ich meine, Gründe sind offensichtlich, aber was ist die offizielle Begründung? Man muss es ja nicht jedem Laien direkt auf Root setzen sondern gewisse "Hürden" verwenden die mehr oder weniger Sicherstellen das jemand der das wünscht auch über ein paar Grundkenntnisse verfügt. Ausserdem- nun bitte mal die absoluten Guru's hier- nach meinem Verständnis kann man mit Root alleine das Gerät nicht so "beschädigen" das es nicht wieder über ein Vollrecovery mit Kies wieder laufen würde? (Aber vielleicht fehlt mir hier nur die Phantasie... rm -rf / ) - für diese macht man dann eben einen Kostenpflichtigen Support und gut.

Vielleicht könnte das auch mal einer den Support fragen, wenn der denn schon an der Strippe hängt- wenngleich ich mich meinem Vorredner da durchaus anschließe- alles was nicht in einer FAQ steht wird vemutlich eh nicht sinnvoll beantwortet werden, bzw, was drin steht, immer genau gleich.

 

[mrx]

Ich glaube bei Android hat sich als Standard keinen Rootzugriff zu haben aus der amerikanischen Mobilfunkkultur entwickelt. Die Provider sind da sehr mächtig gewesen, was sich erst durch Apple auch anfing zu ändern. Für die Provider dort ist es unerwünscht die Geräte zu rooten, weil damit Provider-Locks der Geräte oder Tethering-Beschränkungen umgehen können. Sie verdienen damit Geld. Das erinnert mich auch an die aktuelle Diskussion mit dem SIM-Lock beim Note 3 und anderen Samsung-Geräten.

Jedenfalls scheint Google auch den Providern Rechnung getragen zu haben und es gibt bei Android von Haus aus nicht das Konzept das man Rootrechte hat. Und das bei einem Technikladen wie Google. Das sagt viel aus. Vermutlich wollte man auch nicht Android in Europa dann mächtiger aussehen lassen und ein Zweiklassensystem entwickeln damit Amerikaner sich nicht schlecht fühlen. Schließlich ist der Hauptsitz von Google auch in den USA.

 

[Gnampf]

das ergibt natürlich in vielerlei hinsicht Sinn und erhöht natürlich auch die Nachvollziehbarkeit (wenngleich es sowieso immer nur um Geld geht, das meinte ich mit "offensichtlichen Gründen"), wirft für mich nur die Frage auf, warum die sonst so freiheitsliebenden Amerikaner das so einfach gefressen haben
Nichts desto trotz würde mich immernoch interessieren was die offizielle Stellungnahme dazu ist, denn ich sehe irgendwie immernoch nicht ein warum ich als Besitzer eines Gerätes nicht darüber verfügen darf

 

[vetzki]

... Die Provider sind da sehr mächtig gewesen, was sich erst durch Apple auch anfing zu ändern. ...

Warum hatte man dann bei Apple keine root rechte ?

 

[mrx]

Ok, das ist eine gute Frage und das hätte ich genauer erläutern müssen. Gemeint war, dass Apple mit dem iPhone durchgesetzt hat, dass die Provider nicht ihr Logo auf das iPhone vorne und hinten über das Gerät bügeln und die Oberfläche an ihre Vorstellungen anpasst und alles mit den Providerdiensten versieht.

Das hat Apple geändert, wenn man sich die Telefone nun anschaut werden die Logos immer kleiner bzw. verschwinden auf den Home-Buttons von Samsung-Geräten langsam die Hersteller-Logos, weil Samsung erstärkte mit dem Galaxy uns so auch Forderungen stellen konnte.

Als Android aufkam sahen die Provider anfangs aber bei dem offenen System die Möglichkeit gerade alles an die eigenen Wünsche anzupassen. Die Android-Geräte damals wie die Motorola Droids hatten auch meines Wissens nach noch sehr starkes Branding.

 

[profil]

Sei mir nicht böse, aber das ist auch Blödsinn.
Apple hat nichts geändert, Apple hat Standards gesetzt.
Als das erste iPhone kam, war Android noch eine absolut unbekannte, weil noch nicht existierende, Sache

 

[mrx]

Was meinst du was Blödsinn ist? Ich meine keineswegs, dass Apple irgend etwas neues Innovatives gemacht hat. Aber als Beobachter und auch nach Meinungen von anderen Leuten war es beim erscheinen des ersten iPhones ungewöhnlich, dass das Gerät nicht ein dickes Providerlogo und Branding hatte.

Meine Schlussfolgerung war, dass Google den Provider in den USA Android als Betriebssystem attraktiv aussehen lassen wollte: Ein System unter deren Kontrolle (ohne Rootrechte) aber mit hoher Anpassungsfähigkeit. Ist das zu weiter hergeholt?

Das Thema Apple habe ich nur als Beispiel erwähnt, dass die Provider dort viel Einfluss hatten/haben. Man kann sich das nicht vorstellen, wenn man nur unseren Markt kennt.

 

[profil]

Ich meine keineswegs, dass Apple irgend etwas neues Innovatives gemacht hat

Wieso nicht, wer hatte denn dann das erste richtig funktionierende Smartphone? Wenn man die Microsoft Versuche mal nur als Versuche betrachtet.

Aber als Beobachter und auch nach Meinungen von anderen Leuten war es beim erscheinen des ersten iPhones ungewöhnlich, dass das Gerät nicht ein dickes Providerlogo und Branding hatte.

Wieso ungewöhnlich, es gab doch noch keine Smartphone vorher?

Und auch meine ersten "Mobile Telefone" hatten keinen Brand, nur das Herstellerlogo. Motorola, Ericson usw.

 

[mrx]

Die Diskussion ob es Smartphones vorher gab oder was Apple beisteuerte will ich hier nicht führen. Das ist Off-Topic. Ich wollte lediglich versuchen auf die Frage von Gnampf eine Erklärung zu finden. Mir sah es sah aus, als ob man das historisch erklären könnte.

Es ist auch schon jetzt so bei den Anbietern ATT und Verizon, dass der Bootloader dort vor Knox die Leute vor sehr große Probleme stellte. Ich weiß gar nicht, ob er geknackt wurde, ich hatte mal von einer Bounty gelesen und dass die sehr lange nicht erreicht wurde. Jedenfalls kann man damit das Interesse von Knox auch erklären. Wenn die Geräte nicht mehr rootbar sind, dann lässt sich der Provider-Lock nicht mehr umgehen.

Welche Aussage von mir im speziellen fandest du denn unsinnig und nicht nachvollziehbar? Ich kann ggf. noch etwas erklären was ich meinte. Wie gesagt, es ist nur meine Meinung und ein Versuch die Motivation zu erklären. Ich wollte nur hilfreich sein auf die Frage.

Ergänzung: Bei uns stimmt das mit den Herstellerlogos. Es geht um die USA. Die bügelten (und machen das teilweise immer noch) ihre Handys aus meiner Sicht total hässlich kaputt mit Logos... siehe z.B. https://community.verizonwireless.com/thread/786289

 

[profil]

Du kannst die USA nicht 1÷1 mit Europa vergleichen.
In Europa gibt es Länder, da ist der Provider lock z.B. verboten.
Abgesehen davon ist Amerika nicht unbedingt der größte Markt für die Hersteller

 

[Nightly]

...ich war dann mal 40 Minuten am chatten

Das wohl jedermann bekannten Support Team bla bla erspare ich euch hier, die Kernaussage des fachlich durchaus kompetenten Supporters auf meine Frage "wie werde ich Samsung Knox nebst neuem -locked down- Bootloader wieder los?" war jedoch mehr als eindeutig:

☆ ein Downgrade -weder bei Firmware noch beim Bootloader ist nicht geplant
☆ der User akzeptiert per Update die Modifikation am Gerät (Bootloader & Co.) mit allen Konsequenzen
☆ root ist ebenfalls nicht eingeplant,:what: dafür gibts nun aber Knox mit 'Samsung Secured Root' :screwy:
☆ Falls überhaupt ein Bootloader Downgrade möglich sein sollte, dann nur über den Samsung Support (die Kostenfrage blieb natürlich ungeklärt):

Samsung Mobile Reparatur-Center
datrepair GmbH
Am Sophienhof 8 - 10
24941 Flensburg

Tel.: 0461 957750
E-Mail: info@datrepair.de
www.datrepair.de

[12:47:49]*Arndt Viersen, Kundenberater Mobiltelefone:*
Wenn unserer Rearaturpartner kein Downgrade durchführt, so haben Sie dann leider keine Möglichkeit diesen Zustand zu ändern.

[12:48:38]*Arndt Viersen, Kundenberater Mobiltelefone:*
Im weiteren Verlauf empfehle ich für Entwickler unsere Webseite:

developer.samsung.com

[12:50:12]*Arndt Viersen, Kundenberater Mobiltelefone:*
So haben Sie nur die Möglichkeit auf eigene Gefahr andere Software auf das Gerät zu spielen. Damit verfällt aber unsere Gerätegarantie.


[12:51:42]*Nightly:*
^^ Ihre Angaben sind mehr als ernüchternd. Dennoch vielen Dank für ihre Zeit und die erbrachten Informationen.

...ergo: Android 4.3 hat sich für mich erledigt, zumindest soweit es Sammy Roms mit 'KnoxWitz' und locked Bootloader betrifft

 

[mrx]

Du kannst die USA nicht 1÷1 mit Europa vergleichen.
In Europa gibt es Länder, da ist der Provider lock z.B. verboten.
Abgesehen davon ist Amerika nicht unbedingt der größte Markt für die Hersteller

Habe ich auch nicht gemacht. Ich finde den Provider-Lock auch schlecht. Ich habe nur versucht eine Erklärung zu finden, warum Android wohl "historisch" bedingt kein Root hat. Google ist ja auch ein US Unternehmen. Die Erklärung ist doch nicht so schlecht? Oder siehst du eine bessere Erklärung? Was fandest du denn an meinem ursprünglichen Beitrag so schlecht, dass du meintest, dass es Blödsinn ist?

 

[profil]

Dann bin ich nur froh das ich mein S4 so elegant los geworden bin

 

[Nightly]

@ profil: thanks to my ned vorhandenen Freizeit hat meine flashgeilheit gelitten, weshalb ich nun ohne neuen Bootloader durchaus noch zufrieden mit meinem S4 bin

Knox FAQ@XDA: http://forum.xda-developers.com/showthread.php?t=2470635