Technische Diskussion zu KNOX - Sammelthread

[flosch1980]

Ich glaube Samsung garnichts mehr, die haben mich im Support Chat und per Email stumpf angelogen was den Ruckversand meines defekten Akkus betraf.

Ist ohne weiteres möglich hieß es und dann habe ich mich bei DHL erkundigt und eine gepfefferte Email erhalten gegen wieviele Vorschriften und Bestimmungen ich denn Verstoße wenn ich das mache.

Sorry für das OT aber paßte gerade so gut.

 

[Nightly]

http://www.androidnext.de/schwerpunkt/samsung-knox-android-basierte-sicherheitsloesung-erklaert/

... das trifft es nicht, siehe Citrix,MobileIron, AirView und Centrify http://youtu.be/FiKqtq8IhfA -im letzten Drittel sollte man öfter mal die Pause Taste drücken und zoomen

Da man -im Business Umfeld - mittels MDM (unter anderem) Kamera, Micro und Co. remote aktivieren kann, fallen mir spontan mehrere Behörden und Regierungen ein, die sich dieses Feature sicherlich nicht entgehen lassen

 

[profil]

Ich finde auch das ist so eine Wischiwaschi Erklärung um keinem Werbekunden auf die Füße zu treten

@Nightly
Das ist nun aber schon ein wenig abenteuerlich

 

[flosch1980]

Ich finde eher Nightly hat den Nagel auf den Kopf getroffen.

Die NSA hat die UNO abgehört und dann haben die keine Backdoor eingebaut? Morgen kommt der Weihnachtsmann...

 

[meandtheKatera]

Sehe das wie Nightly und flosch1980

Abenteuerlich find ich da gar nichts, bloß höchst bedenklich.

 

[ollborg]

Vor allem steht in den Whitepapers ja auch das die NSA neben SE Linux auch bei der weiteren Entwicklung stark involviert war. Beweise dafür liefert ja auch die Zertifizierung für das US Militär. Die Dokumente dazu, wie das US Verteidigungsministerium Knox nutz, waren hier ja auch schon verlinkt.

 

[Nightly]

Remote App Push und mehr ^^ ... nett, was SOTI uns da zeigt:http://youtu.be/xWnW1h_vSdA

Der ursprüngliche Beitrag von 20:06 Uhr wurde um 20:13 Uhr ergänzt:

@ profil ... einfach mal Google bemühen; echt interessant, wer da alles von den Telekommunikations Global Player's 'Lösungen' zu Knox (und vor allem welche Kaliber!) aufwartet;deren White Paper lesen sich mehr als giftig

Stichwort:"Samsung Knox+remote access" und "Samsung Knox +MDM" ... und Google füttert dich

Jeder muss für sich entscheiden, ich will diese Rougeware nicht-weder privat noch beruflich.
AOSP! ..."mehr sog i ned"

Der ursprüngliche Beitrag von 20:13 Uhr wurde um 20:26 Uhr ergänzt:

Zum Thema 'Bootloader downgraden' das Statement von datrepair,dem offiziellen Samsung Supporter:

Schönen guten Tag,
*
leider ist unsererseits ein Downgrade nicht möglich.
*
Herzliche Grüße
Christiane Meschede
Kundenkommunikation
*
Tel******* 0180 5 94 00 94*
Fax***** +49 461 95 775 39
Mail***** info@datrepair.de
Web**** www.datrepair.de

nice bitch move, Samsung
Sollten meine Anfragen bei anderen Diensten gleichlautend beantwortet werden, wars das meinerseits mit KnoxWiz Firmware Tests

 

[profil]

Dem kam ich mich anschließen, ist ja der Grund weshalb ich kein S4 mehr habe.
Aber ich befürchte das die NSA oder andere auch schon dort mitlesen

 

[Nightly]

@ profil

^^...dont hack, dont steal, dont spy, dont lie
(because your government hates the competition)

...Scherz beiseite, mein S4 verkaufe ich deswegen nicht (würde kaum Sinn machen, denn Samsung's Konkurrenz wird ebenfalls nachziehen). Aber da ich noch Wahlfreiheit habe, bleibe ich erst mal bei Android 4.3 (GE) und das in der Hoffnung, dass Google im AOSP Segment nicht ähnlich 'kreative' Ideen einbringt. Ich bin kein Gegner von Sicherheitslösungen, auch bei ASOP kann man definitiv noch über die eine oder andere Sicherheitsfunktion diskutieren, das aber dann hoffentlich auch mit der nötigen Weitsicht gegenüber dem zahlenden Privatkunden

 

[frank_m]

Ich hatte doch gestern darum gebeten, wieder mehr zu den technischen Fakten zu kommen und weniger Spekulationen zu verbreiten. Alles um "nach Hause telefonieren" etc. entbehrt bislang jeder Grundlage. Ich wäre dankbar, wenn hier mal deutlichere Hinweise für derartige Behauptungen auf den Tisch kämen, anstatt nur aussagen ala "Google mal nach dies und das und lass dich überraschen". Google erzählt mir auch problemlos, dass unser Forum gegen das Betäubungsmittelgesetz verstößt.

Die emotionalen Bedenken, die einige gegen NSA Software haben, kann ich nachvollziehen, aber wir werden sie in diesem Thread nicht lösen. Wer der Sache nicht traut, soll es lassen. Jeder kann sich selber ein Bild davon machen, was er von den Snowden Enthüllungen auf das S4 projiziert und dann zu einer Entscheidung kommen. Einfacher - und für dieses Forum angemessen - ist die Analyse der technischen Auswirkungen von Knox auf das tägliche Arbeiten mit dem Android Telefon. Was geht, was geht nicht? Welche Einschränkungen gibt es bei Apps, welche beim Rooten, Modden oder Individualisieren? Darauf sollten wir uns konzentrieren, denn damit kennen wir uns aus.

____________________________

Das finde ich sehr interessant! Könntest du bitte einen Link hier posten?

Sorry, hatte ich gestern übersehen.

Es ging darum, dass man mit pre-rooted ROMs sein S4 mit Knox rooten kann, ohne den Warranty Counter zu erhöhen. Das ist bestätigt durch die pre-rooted ROM, die hier im MI8 Thread zum Download angeboten wird. Siehe dazu aber den Beitrag hier:
https://www.android-hilfe.de/forum/...sammelthread.473139-page-15.html#post-6486929

Die neue pre-rooted Firmware enthält keine Knox Bootloader (und alles rund um Knox wurde deaktiviert). Wenn man sie über alte Bootloader flasht, dann hat man massive WLAN und Sound Probleme. Erst mit den neuen Bootloadern funktioniert die Firmware ordentlich - mit Knox Counter auf 0, aber ohne Knox und mit Root.

Wie gesagt: Downloads der pre-rooted ROM ohne Bootloader und mit deaktivierten Knox Features hier:
https://www.android-hilfe.de/forum/...xxuemi8-jelly-bean-4-3-oxa-leaked.480359.html

_________________________________________


Ich hab mir die "Vollversion" der MI8 Android 4.3 Firmware heute abend installiert und will schon mal kurz Feedback geben. Es gibt jetzt den Punkt "Knox" bei den Apps, mit dem man die Knox Apps (172 MB) installieren kann. Das hab ich noch nicht gemacht, werde es aber morgen mal angehen.

Was mir auf Anhieb auffällt: Die Meldung "Eine Anwendung wurde angehalten ba bla" kommt deutlich seltener, als vorher. Bei mir eigentlich gar nicht mehr (jedenfalls heute noch nicht), obwohl ich alle Apps und Daten drauf hab, wie vorher (Helium Backup). Alles weitere werde ich in den kommenden Tagen beobachten und hier Feedback geben.

 

[Nightly]

http://img.tapatalk.com/d/13/10/09/7aru8y5y.jpg

@ frank: :beer:
Anbei eine visualisierte Spekulation

http://img.tapatalk.com/d/13/10/09/ma5e5eju.jpg

 

[frank_m]

Und was sieht man da?

 

[BIG_I]

@frank

Hast du den neuen oder alte Bootloader drauf?

 

[mrx]

Es ging darum, dass man mit pre-rooted ROMs sein S4 mit Knox rooten kann, ohne den Warranty Counter zu erhöhen. Das ist bestätigt durch die pre-rooted ROM, die hier im MI8 Thread zum Download angeboten wird. Siehe dazu aber den Beitrag hier:
https://www.android-hilfe.de/forum/...sammelthread.473139-page-15.html#post-6486929

Die neue pre-rooted Firmware enthält keine Knox Bootloader (und alles rund um Knox wurde deaktiviert). Wenn man sie über alte Bootloader flasht, dann hat man massive WLAN und Sound Probleme. Erst mit den neuen Bootloadern funktioniert die Firmware ordentlich - mit Knox Counter auf 0, aber ohne Knox und mit Root.

Vielen Dank. Allerdings: Wenn ohne den neuen Bootloader Probleme mit Sound und WLAN ist das nicht gut auftreten. Es ist plausibel, dass nachträgliche Flashen des neuen Bootloaders dann keine Knox Flag setzt wenn vorher gerootet wurde. Allerdings: Danach sollte es doch nun unmöglich sein eine neue Version aufzuspielen und diese zu rooten. Davon hatte ich bei XDA gelesen. Oder stimmt das nicht?

So gesehen ist diese Lösung doch nicht so phantastisch.

 

[ollborg]

@Frank.

Es ist natürlich schwierig einen Beweis anzutreten für die rege Kommunikation von Knox mit seinen Heimat MDMs aber ich möchte mich jetzt dieser Aufgabe stellen, soweit dies möglich ist.

Beginnen möchte ich mit einem Dokument der DISA Field Security Operations (DISA = Defence Information Systems Agency)

1. Knox ist zertifiziert für heiligste Bereiche des amerikanischen Militärs. Ist also im Einsatz und vertrauenswürdig für sie.
2. Es handelt sich um Sicherheitsfunktionen für Einsätze im Feld, dies implemeniert Überwachen des Gerätes über das Netz.

Es handelt sich um folgendes Dokument:

Anhang anzeigen U_Samsung_Knox_Android_1.0_V1R1_Overview (2).pdf

Dieses Dokument ist so eine Art Guide zur Implementierung und Funktionsweise von Knox, für System Administratoren. Es ist im Internet frei verfügbar, hier wird erklärt mit welcher Reaktion Knox auf bestimmte Situationen reagiert. Zusätzlich gibt es weitere Informationen zur Fähigkeit von Knox.

Dort ist unter anderem folgender Eintrag aufgeführt, den ich als ersten Beweis für eine Netz API von Knox heranziehe.

Any vulnerability, the exploitation
of which will directly and
immediately result in loss of
Confidentiality, Availability, or
Integrity.

5. Allows denial of service or denial of access,
which will result in mission failure.

Knox analysiert also den Datenverkehr im Netz und reagiert darauf.

Weitere und die eindeutigsten Beweise finde ich hier:

2.2 Compliance via Third-party Applications and Components

The Samsung Knox platform provides various APIs for third-party solution vendors to develop Knox security components that can be used to implement several Mobile Operating System (MOS) SRG IA controls. This allows for the integration of any third-party applications and components to achieve compliance to the Samsung Knox Android STIG. The APIs that are

provided by the Samsung Knox platform are:

The Samsung MDM API includes over 500 policies and 1100 interfaces that are
designed to be called by any MDM agent. Using these policies and interfaces, the MDM
solution vendor can implement an MDM solution that can meet or exceed the SRG
requirements. Examples of MDM vendors that implement the Samsung MDM API
include Mobile Iron, AirWatch, SOTI, and Fixmo.

Es gibt also diverse MDM Lösungen, welche über ihren Agent mit Knox kommunizieren und ihr Regelwerk umsetzen. Dies geschieht natürlich im Feld, also im Einsatz über das Netz. Samsung scheint hier mit Samsung MDM auch eine eigene Lösung zu haben. Das nur mal zum Thema eigene Infrastruktur. Selbst wenn es keine eigene Lösung ist gibt es ja genug Drittanbieter.

Knox stellt über seine Netz API also auch unmengen an Policies und Schnittstellen bereit.

Versuchen wir das auf Consumer Knox zu übertragen. Knox telefoniert also mindestens mit Samsung über diese Netz API um zu wissen, wie es sich verhalten soll. Für Consumer wird es also auch Richtlinien Updates auf diesem Wege geben, gesehen haben wir das ja schon.

The Samsung Integrity Services Layer (ISL) provides an interface that allows any thirdparty
vendor to implement an Integrity Services Agent (ISA) solution to communicate
with the on-device MDM agent. The ISA will provide scanning for integrity failures on
the device, and report results to the MDM server. Examples of solutions that implement
the ISL include Fixmo ISA.

Auch hier wird klar eine bidirektional Kommunikation aufgeführt.

The Samsung MDM API includes advanced VPN policies and interfaces that allow an
MDM administrator to configure any third-party IPSec VPN solution which implements
the MDM interfaces. The VPN enables the Samsung Knox Android device to connect to
DoD networks and uses a FIPS 140-2 validated cryptographic module to protect data in transit. Examples of solutions that implement the MDM interface include Mocana
KeyVPN and Inside Secure VPN.

Es ist nicht einfach diese Enterprise/Militäry Knox Funktionen auf Consumer Knox zu übertragen. Das Knox mindestens mit Samsung und deren Consumer Knox Infrastruktur telefoniert, sehe ich aber als bewiesen an. Knox ist darauf ausgelegt zentral gesteuert zu werden. Ohne Richtlinien und deren Updates ist Knox nicht richtig funktionsfähig.

Alles weitere wird sich wohl erst zeigen falls ein Zugriff durch eine Behörde auffliegt oder jemand die API anzapft um auszulesen was da passiert. Hier müsste man zuerst den Netzverkehr einfach mal mitschneiden.

Es ist aber gefährlich einfach zu sagen Knox telefoniert nicht nach Hause. Amerikanische Behörden sind tiefer in Knox verwoben als nur über SE Linux, SE Linux wurde in diesem Fall erweitert um fernsteurbare Regeln. Das ist sicherlich Verdienst von Samsung und der NSA. Was diese Regeln alles mit dem Handy anstellen können ist im Dokument gut aufgeführt und nicht wiederlegbar.

 

[mrx]

Es steht jedenfalls fest dass Unternehmen die einen Sitz in den USA haben sich nicht wehren können wenn jemand von der Regierung kommt um eine Überwachung zu verlangen. Dies darf auch noch nicht mal bekannt gemacht werden. Siehe Lavabit, einfach danach googlen. Hier eine Beispiel: http://heise.de/-1972561

Wenn man nun sieht, dass Samsung eine Niederlassung in den USA hat und dies nun zusammen rechnet, kommt man zu dem Schluss, dass Samsung verpflichtet werden Knox gegen Consumer einzusetzen und dies nicht bekannt geben darf. Entsprechend hilft auch keine Versicherung von Samsung, dass Knox nicht "missbraucht" wird. Von daher kann ich alle Leute hier verstehen, die große Bedenken haben.

 

[ollborg]

Chainfire Information zu Warranty Void: eFuse bestätigt, Rücksetzen unmöglich, Leistungen (Garantie bei Hardware Schaden) fraglich und uneinheitlich geregelt oder Glücksache

https://plus.google.com/+Chainfire/posts/LCfF5A9fsTG


Chainfire
In den Kreisen von 72.205 Personen



Chainfire

Öffentlich geteilt - 10:45


More on KNOX warranty void

Bad news everyone! I've been hearing more from people in places associated with Samsung, and it is becoming more likely that this KNOX status is indeed an eFuse. I might talk to some Samsung guys myself this weekend, if there's anything interesting about that, I'll let you know.

Worse than that, I've also been hearing that service center instructions are indeed that devices with this status tripped will not receive any warranty repairs. (Of course, the action they take may still depend on the service center). Their excuse is that the hardware is damaged by the owner. Seems Samsung is catching up in scumbaggery to HTC, who years ago attributed my HTC Diamond's screen damage (digitizer detached) to the installation of HSPL

To anyone in the know it is obvious that this doesn't really fly, and the eFuse blowing (is this the hardware damage?) is intentionally done by the bootloader when unsigned software is loaded. One could even argue against the legality of that under EU regulations.

Anyway, of course there's that EU regulation (1999/44/CE) that is generally interpreted so that rooting/flashing may not break hardware warranty. As I've said again and again, this may be true, and you may be legally entitled to free repairs but this doesn't necessarily mean they'll actually repair your device.

Warranty needs to be provided by the seller, not by the manufacturer. The shop will usually depend on the manufacturer's warranty, though that's really none of your business or concern - your deal is with the seller. The shop will send you (or your device) to a service center, which may not be OEM operated or owned (but licensed instead) and are furthermore under no obligation whatsoever to repair your device if they don't want to. And if their instructions say to not repair in case X, then they will not, as the OEM will not reimburse them for the parts.

The shop will just tell you that the OEM says your breakage isn't covered by the warranty, and that will be that. You will have to slap said shop around a bit with EU regulations, and possibly take them to court before they will repair/replace your device. Even if you take them to court, and if you win (I've not seen or heard from such a case winning yet), you'd just be hurting the shop, it has no effect on the OEM, and you've probably spent a lot more time and money than you would've just buying a new device.

Only the OEM wins in this scenario, which is pretty sad, really.

Of course, I am not a lawyer, so take all this with a grain of salt.

 

[instru]

The shop will send you (or your device) to a service center, which may not be OEM operated or owned (but licensed instead)

Ich habe mit meinem Provider (Orange CH) darüber gesprochen. Der Service Center, der zentral den Service für alle Schweizerprovider durchführt, hat meist keine Zeit sich die Geräte so genau anzuschauen. Der schaut, ob der Benutzer offensichtlichen Hardwareschaden zugefügt hat, und wenn nicht wird das Gerät ersetzt. Meinem Provider jedenfalls ist noch kein Fall bekannt, wo die Garantie wegen Root abgelehnt wurde.

Ich werde auf jeden Fall, falls nächste Woche von ChainFire keine bessere News kommt, mein Note 3 rooten.

 

[ollborg]

All about Samsung Kommentar:

Samsung trickst bei Garantie und Gewährleistung: Softwareflash führt zu Hardwarebeschädigung?

Interessant ist das man Samsung endlich mal offiziell um Stellungnahme bitte möchte.

Samsung trickst bei Garantie und Gewährleistung: Softwareflash führt zu Hardwarebeschädigung?

 

[HaPe1968]

Presse springt langsam an:
GiGa- Samsungs Garantie-Trick: Wenn Custom ROMs zum Hardwareschaden führen