Technische Diskussion zu KNOX - Sammelthread

[HaPe1968]

Samsung geht weiter in die gleiche Richtung:
zertifiziertes Zubehör für vollen Funktuionsumfang

Die Firma ist für mich in Zukunft absolutes No-Go

 

[Andi1000]

Hab grad noch einige Zeilen bei XDA gelesen. Die große Euphorie ist durch, dass das System geknackt wurde. Sobald du das S4 nur schief anschaust mit der Mega und Root, springt das Flag schon auf 1.
Somit fühle ich mich bestätigt gerootet zu haben, um das Gerät voll und ganz nutzen zu können. ... !!!nach meinen Vorstellungen!!!. Das ewige hin und her nervt gewaltig.

 

[MrSpiceGuy]

Samsung [...] ist für mich in Zukunft absolutes No-Go

Genau so sehe ich das auch, die schaufeln mehr oder weniger ihr eigenes Grab.
Die Konkurrenz wird immer stärker und ich hoffe für Samsung, dass das Note 3 bzw. das S5 ein richtiger Flop wird, damit Sie mal merken, dass es nicht das wichtigste ist mit kleinen Tricks an möglichst viel Geld zu kommen, sondern auf die Kunden und deren Wünsche zu hören.

Hoffentlich wird das das Nexus 5 bald vorgestellt und verkauft.

Das S4 war mein erstes Samsung-Smartphone (abgesehen vom Galaxy Nexus, welches ich aber nicht als Samsung Gerät sehe) und mit 100%iger Sicherheit auch mein letztes!

 

[mrx]

Hier ist ein Artikel der auf Heute datiert ist: eFuse & Root-Blockade

Ich glaube ich habe ihn hier noch nicht gesehen.

 

[flosch1980]

Es ist ja alles nachvollziehbar was Samsung gemacht hat aber die bringen zig verschiedene galaxy Modelle auf den Markt.

Da wäre es doch ein leichtes gewesen ein galaxy Business auf den Markt zu schmeißen und alle wären glücklich gewesen oder man hätte Knox als ganz besonderes Feature angeboten und die Firmen hätten sich dann eine Lizenz kaufen müssen und erst dann wäre es aktiviert worden.

Es hätte so viele Möglichkeiten gegeben die ottonormal Kunden nicht zu vergraueln aber daran scheint Samsung ja nichts zu liegen, wir sind einfach zahlendes Fußvolk und mehr nicht.

Wenn jetzt noch das Herstellergebundene Zubehör kommt, dann ist Huawei in ein paar Jahren das neue Samsung und Samsung irgendwann das jetzige Nokia.

 

[profil]

Ich bin nur gespannt ob sich das auf die Verkaufszahlen auswirkt

 

[Steb]

Es hätte so viele Möglichkeiten gegeben die ottonormal Kunden nicht zu vergraueln aber daran scheint Samsung ja nichts zu liegen, wir sind einfach zahlendes Fußvolk und mehr nicht.

Ottonormalkunden rooten ihr S4 aber nicht und flashen keine ROMs etc Ottonormalkunden freuen sich über die hohen technischen Standards von Samsung - sowohl hardware- als auch softwareseitig.
Deshalb ist Samsung doch auch so erfolgreich
Für Leute die tiefer in der Materie stecken ist das natürlich gelegentlich auch mal zu wenig - und deshalb rooten sie.
Ich für meinen Teil finde es auch schade, dass Samsung z.B die Knox Warranty flag eingebaut hat - aber wer rootet, hat ohnehin jeden Garantieanspruch verloren, das ist auch bei anderen Smartphones so.

Aber ich glaube viele übersehen die durchaus plausiblen Vorteile von Knox.
Überlegt mal: ein stark verzweigtes System aus komplexen, sich gegenseitig kontrollierenden Sicherheitsmechanismen, das nicht einmal von Experten/Programmierern/Hackern geknackt werden kann?
Wie cool ist das denn bitte?!

 

[flosch1980]

Da hast du sicher recht Steb, deshalb schrieb ich ja, dass es völlig nachvollziehbar ist was Samsung gemacht hat aber irgendwie wäre es doch nett gewesen den Kunden vorher eindringlich darauf hinzuweisen. Indormation ist einfach alles...

Wenn ich mir sicher wäre, dass mein S4 ohne Schäden die Herstellergarantiezeit übersteht, dann hätte ich das Update auf 4.3 schon lange gemacht und anschließend gerootet.
Bisher hatte ich jedoch bei jedem meiner Samsung Geräte das Pech, dass irgendwas während der Garantiezeit hinüber war und ich es einschicken musste. Bei dem Gerätepreis möchte ich meine Garantieansprüche halt einfach nicht verlieren.

Eine extra Handyversicherung habe ich auch noch und dort interessiert die Knoxflag nicht aber riskieren will ich trotzdem nichts.

Der ursprüngliche Beitrag von 19:19 Uhr wurde um 19:30 Uhr ergänzt:

Wenn es um ihr privates Handy geht ruft sie ihn natürlich gleich an NSA: Merkel beschwert sich bei Obama - SPIEGEL ONLINE .

 

[Steb]

Da hast du sicher recht Steb, deshalb schrieb ich ja, dass es völlig nachvollziehbar ist was Samsung gemacht hat aber irgendwie wäre es doch nett gewesen den Kunden vorher eindringlich darauf hinzuweisen. Indormation ist einfach alles...

Hier wurde z.B. 3 Tage vor Release des S4 darauf hingewiesen:
Samsung Galaxy S4 launching without Knox security software

Die Knox-Funktionen richten sich zwar in erster Linie an Business-Kunden, das heißt aber nicht, dass Privatkunden die Wahl haben, ob sie Knox auf ihrem S4 haben wollen oder nicht...

Abgesehen davon: selbst ein gerootetes S4 mit Knox dürfte immer noch sicherer sein als andere gerootete Smartphones, und das ist doch schonmal etwas

P.S: als ich damals kurz nach Release von Knox gelesen hatte, dachte ich auch nur: das wird sich mit Root schon bei Bedarf entfernen lassen.
Aber wie auch viele andere wurde ich eines Besseren belehrt

 

[flosch1980]

Genau dieses ist doch der springende Punkt.

Warum darf der Normaluser nicht die Wahl haben ob er Knox aktiviert oder nicht?

Technisch kann dass doch nicht das Problem sein.

 

[Steb]

Um es ganz simpel auszudrücken: weil Samsung wohl nicht nach der Unterscheidung von I9505 und I9500 noch zusätzlich eine Business-Lösung und eine Privatnutzer-Lösung machen wollte.
Das sind ja auch alles Kosten, ich nehme mal an, dass die zusätzlichen Kosten keine entsprechend gute Leistung erbracht hätten und daher überflussig sind...so würde ich als Produzent und Verkäufer eines Produktes es jedenfalls auch so machen.

Technisch wäre das sicher machbar gewesen, aber da hat wohl jemand nach der
Kosten/Nutzen-Analyse gesagt: "Das bringt uns nichts, das lassen wir weg!"

 

[profil]

Ich finde auch das Knox allein nicht das Problem ist, dass Problem ist der Counter.
Ich habe nachdem Update, als ich die ersten Meldungen bzgl. Sicherheitsrichtlinien bekam an einen Fehler gedacht und wollte zurück auf die vorherige. Hatte kein Root drauf, aber allein das flashen der alten hat ja schon gereicht den Counter zu erhöhen wir ihr selbst wisst.
Und das ist/war mein Problem mit Samsung

 

[Hilfe!]

Überlegt mal: ein stark verzweigtes System aus komplexen, sich gegenseitig kontrollierenden Sicherheitsmechanismen, das nicht einmal von Experten/Programmierern/Hackern geknackt werden kann?
Wie cool ist das denn bitte?!

"stark verzweigtes System", was meinst du da?
NSA, GCHQ, die Kanadier, Australier und Kiwi's?

"das nicht einmal von Experten/Programmierern/Hackern geknackt werden kann"
Kann oder braucht? Weil der Generalschluessel auf Grund der Einbeziehung in die Entwicklung schon vorliegt?

Ich finde es etwas blauaeugig, nach den letzten Monaten, und der Kenntnis ueber die geheimdienstlichen Taetigkeiten in userer Welt, davon auszugehen, das eine Entwicklung von der NSA nicht deren Grund-Beduerfnisse nach Informationen gezielt unterstuetzt.
Und fuer mich hoert sich "Knox=Telefone sind zugelassen fuer Regierungsmitglieder der US-Regierung" nicht unbedingt so an, als wenn das Gegenteil passiert ist!

Mittlerweile ist KNOX der Hauptgrund, kein Knox verseuchtes Phone zu kaufen. Rootprobleme sind da eher nebensaechlich. Selbst fuer den versuchten Regionslock (denke ich, da rudert sangsom nur zurueck) wuerde es, da per Code zu loesen, zeitnah Codegeneratoren im Netz geben. Der Regionslock koennte sogar das Knox-Problem etwas ueberdecken. In der oeffentlichkeit. Wenn da nicht diese ganzen Rooter waeren! Aber wo wird sonst KNOX fragend betrachtet?

Gerade die 'starke Verzweigung' von Knox mach diese Technik fuer Aussenstehene unkalkulierbar.
Und Anwender/Nutzer der Telefone sind Aussenstehende! Selbst Enterprise System Admins sind nur Aussenstehende hier.
Hier muessen sie wirklich glaeubig sein, um das zu verwenden.
Mit der Verzweigung kann der 'Staats'Trojaner im OS sein, unauffindbar fuer jedwede andere Sicherheitsprogramme.

Solange Knox nicht als 100%ig deaktivierbar gilt, ist dieses Segment von Samsung fuer mich unakzeptabel.
Und 100% deaktiviert, das wuerde bedeuten, das jeder kleine Pieps, den das Phone macht, um updates nachzufragen, zu 'syncronisieren', ect.pp. bis aufs letzte Bit entschuesselt wurde.

Wisst ihr, wieviel Daten in einem Syncro-Strom versteckt werden koennten? Wem wuerde das eine oder das andere MB mehr Datenstrom wirklich auffallen?
Egal, ob Mobil oder Wifi.
Und wenn mir die VPN Daten einer fuer Ueberwachung wuerdig befundenen Person (Kriminell, Terrorist, Wirtschaftsspionage) aus dem 'innerhalb' des Containers bekannt sind, dann ist 'the man in the middle' schon wieder ein leichtes!

Snowden ist kein Gluecksfall fuer Samsung.
Und ich glaube, ohne diese feste Integration ins System, da haette Samsung auch nen Rueckzieher gemacht! Nur was sollen sie tun? Millionen dieser Telefone einstampfen und neuentwickeln?

Wie gesagt, ich aeussere hier nur meine Meinung. Und im Gegensatz zu Mutti ist nicht alles Neuland, fuer mich.
Und versteht mich nicht falsch:
Ich behaupte nicht, das Sangsom mehr weiss, ueber die NSA Anteile an Knox, als wir! Ich sehe Sangsom jetzt eher in der Situation 'Augen zu und durch'. Hoffentlich gleicht sich das fuer die Jungs durch die Regierungsbestellungen an Telephonen wieder aus!

Noch etwas zum nachdenken:
Unsere Regierung zahlt 2500 T€ pro Einheit, an 'abhoersicheren' Telefonen.
Samsung verschleudert die Technik zu einem Preis, den die Phones auch ohne diese Technik und Software haette. Warum MUSS/SOLL das unbedingt an so viele Nutzer wie moeglich gebracht werden?

Mir fallen da nicht wirklich viele plausible Gruende ein.

Nachtrag: Den weiter 'oben' verlinkten Beitrag eben erst gelesen:
http://allaboutsamsung.de/2013/10/sicherheit-samsung-knox/?ModPagespeed=noscript

All das, was er ueber root sagt, zur E-fuse, laesst sich wunderbar genauso sagen, ueber eine Sicherheitssoftware, die eventuell kompromittiert wurde. Und damit die E-Fuse nicht ausloest!

 

[meandtheKatera]

Mir fallen eine Menge Gründe ein, keiner davon ist erfreulich...

Privat wird Knox noch ignoriert oder gar als Pluspunkt gesehen...für mich keineswegs nachvollziehbar, aber jeder wie er mag.

Business Sektor? Da tritt Knox gegen Jahre lang etablierte Konkurrenz an, in wie weit das Vorhaben gelingt wird sich zeigen.
BYOD? Eventuell für Mitarbeiter interessant...ob man Mitarbeitern allerdings so weit entgegenkommen wird für die Umsetzung dessen von altbewährter, als funktional und sicher eingestufter Lösung abzuweichen?
Android...nun ja

 

[eugene82]

Abgesehen davon: selbst ein gerootetes S4 mit Knox dürfte immer noch sicherer sein als andere gerootete Smartphones, und das ist doch schonmal etwas

So wie ich das verstanden habe, funktioniert Knox nicht mehr, wenn das Gerät einmal kompromittiert (Flag 0X1) worden ist.
Dies wird vermutlich bei allen gerooteten Samsung-Geräten mit Knox-Bootloader irgendwann von selbst geschehen, spätestens dann, wenn die Prüfmechanismen entsprechend sensibilisiert worden sind.
Schlimmstenfalls, wenn die E-Fuse intelligent genug untergebracht ist, dürfte die Reparatur ein neues Motherboard verlangen.

 

[Prius 3]

Vielleicht wird Samsung hier aber auch unrecht getan, und Samsung verfolgt mit Knox tatsächlich nur den Sicherheitsgedanken .
Wenn ich das bisher richtig gelesen habe, hat Samsung bisher, selbst wenn der Knox-Counter auf 1 stand, anstandslos auf Garantie repariert .
Sicher ist Samsung auch selbst ein bisschen Schuld an der Situation,da man sich bis jetzt wohl noch nicht entsprechend zur Sache geäußert hat .
Bleiben die Daten die ich bei Knox speichere auf dem Telefon oder verschwinden diese in einer Knox-Wolke ?

 

[Nightly]

Aber ich glaube viele übersehen die durchaus plausiblen Vorteile von Knox.
Überlegt mal: ein stark verzweigtes System aus komplexen, sich gegenseitig kontrollierenden Sicherheitsmechanismen, das nicht einmal von Experten/Programmierern/Hackern geknackt werden kann?
Wie cool ist das denn bitte?!

...beep! ^^

Ausgehend vom Normalo (Nerd) User:


Wäre Root dank Knox & Co unmöglich zu implementieren, würde ich dir gerne recht geben. Dank Root ist jedoch Realität: Knox & Co ist angreifbar (exploitable), Knox Container somit nicht mehr zu 100% sicher ...und ich wette mit dir um eine Kiste 'echt bayerisches Starkbier', dass wir zu dem Thema bald den einen oder anderen 'proof of concept' zu sehen bekommen, die ersten Schritte hierzu sind schließlich bereits gemacht

 

[ollborg]

Wirklich schlimm ist doch der millionenfache Verstoß gegen das deutsche Datenschutzrecht. Auf einem Smartphone befinden sich fast ausschließlich personenbezogene Daten. Personenbezogene Daten sind durch das deutsche Datenschutzgesetz besonders geschützt.

Durch Knox, in diesem Fall dessen Bestandteil SE Android, wird ein Gerät durch Richtlinienupdates zu einer ferngesteuerten Abhöranlage mit Mehrwert. Über 500 unterstützte Policies und 1100 Schnittstellen machen es möglich. Die Policy/Richtlinienupdates sind dem bekannten Screenshot folgend Tatsache.



Sind die Server für die Richtlinien Update Maschinerie nun nicht bei Samsung, sondern bei einem amerikanischen Hoster wie z.B. Amazon untergebracht, hat nicht nur Samsung all diese Möglichkeiten, sondern auch unsere amerikanischen Freunde. Die Verschlüsselung muss ja laut Patriot Act gegenüber deren Behörden offengelegt werden.

Das betrifft nun wirklich jeden, der ein Gerät mit Knox einsetzt. Zumindest dann wenn SE Android aktiv ist. Um dies abzuschalten braucht man aber Root, dies geht wiederum nur mit Garantieverlust.

 

[Prius 3]

Ich glaube seit dem Bekanntwerden der NSA-Affaire ist eine regelrechte Paranoia ausgebrochen .
Jeder scheint sich verfolgt zu fühlen und fürchtet ein Entdecken von Leichen im Keller !
Da ich weder mit Terrorristen kooperiere und auch nicht selbst vor habe ein Flugzeug in den neugebauten World-Trade Center zu steuern, glaube ich das die Amerikaner an mir herzlich wenig Interesse haben. Aber abgesehen davon, wir leben im Internet Zeitalter und alles was wir dort reinstellen bleibt auch dort .
Jeder der bei z.B Facebook ein Foto von sich hochlädt muß sich im klaren sein das zig Millionen Menschen darauf Zugriff haben !
Wir leben nun mal inzwischen in einer gläsernen Welt und das nicht erst seit gestern !
Das ist der Preis des Fortschritts und um das Rad der Zeit zurückdrehen ist es bereits zu spät !
Ich glaube auch nicht das die NSA Knox braucht um uns auszuspionieren, da haben die sicher bessere Möglichkeiten .

 

[Steb]

So wie ich das verstanden habe, funktioniert Knox nicht mehr, wenn das Gerät einmal kompromittiert (Flag 0X1) worden ist.

Der Container funktioniert dann nicht mehr. Und die anderen Komponenten der Knox-Architektur -> Samsung Knox ?

"stark verzweigtes System", was meinst du da?
NSA, GCHQ, die Kanadier, Australier und Kiwi's?

Sarkasmus ist keine schöne Eigenschaft.

"das nicht einmal von Experten/Programmierern/Hackern geknackt werden kann"
Kann oder braucht? Weil der Generalschluessel auf Grund der Einbeziehung in die Entwicklung schon vorliegt?

Aber nicht für Außenstehende. Und das ist gut so.

Gerade die 'starke Verzweigung' von Knox mach diese Technik fuer Aussenstehene unkalkulierbar.
Und Anwender/Nutzer der Telefone sind Aussenstehende! Selbst Enterprise System Admins sind nur Aussenstehende hier.

Und das ist ebenfalls gut. Wieso sollten Außenstehende auch exakten Einblick in die Sicherheitsmechanismen bekommen,
denn dadurch würden sie wahrscheinlich eh nur das System kompromittieren (aus unternehmerischer Sicht betrachtet).

Mit der Verzweigung kann der 'Staats'Trojaner im OS sein, unauffindbar fuer jedwede andere Sicherheitsprogramme.

Das ist nur eine Vermutung! Oder er kann auch dadurch komplett vom System ausgeschlossen sein. Oder er ist auffindbar und daher leicht zu beseitigen.

Sicherheitssoftware, die eventuell kompromittiert wurde. Und damit die E-Fuse nicht ausloest!

"Und damit"? Das klingt wie eine unausweichliche Folge. Ist es aber nicht.
Die eFuse erfüllt doch genau diesen Zweck: "Markiere Gerät als kompromittiert, wenn Manipulationsversuche unternommen werden."

Dank Root ist jedoch Realität: Knox & Co ist angreifbar (exploitable), Knox Container somit nicht mehr zu 100% sicher ...und ich wette mit dir um eine Kiste 'echt bayerisches Starkbier', dass wir zu dem Thema bald den einen oder anderen 'proof of concept' zu sehen bekommen

Und wie verhält es sich mit den anderen Knox-Komponenten (siehe Link oben)? Die dürften weitestgehen noch ihre Arbeit besser als das Standard-Android verrichten.
Ich gebe dir aber vollkommen Recht, dass es früher oder einen Durchbruch in dieser Sache geben wird. Die Frage ist dann nur: wie weitreichend ist dieser?
Reicht er aus, um Knox komplett aus dem System zu schmeißen oder ist es "nur" eine weitere Möglichkeit, ohne Knox flag 0x1 zu rooten?
(Was ich durchaus begrüßen würde )

Sind die Server für die Richtlinien Update Maschinerie nun nicht bei Samsung, sondern bei einem amerikanischen Hoster wie z.B. Amazon untergebracht, hat nicht nur Samsung all diese Möglichkeiten, sondern auch unsere amerikanischen Freunde.

Das ist nur eine Vermutung (und vielleicht sogar Panikmache ).

@all
Versteht mich nicht falsch: ich bin nicht unbeding ein Fan von Knox, auch wenn es vielleicht den Anschein erweckt.
Ich versuche nur, die Vorteile zu sehen, das ist alles.
Warum also nicht die Vorzüge eines funktionierenden Sicherheitssystems genießen?