Technische Diskussion zu KNOX - Sammelthread

[profil]

Nee, das kann man nicht vergleichen. Der Schutz von Knox greift schon deutlich tiefer ins System ein.

Das ist ja leider das Problem, dass und das man nicht weiss was es dort genau macht.

Klassischer Fall: Eine App, die sich unerwartet Root Rechte verschafft. Dagegen ist jeder heute erhältliche Virenscanner machtlos. Ein unmodifiziertes Knox ROM wird sich darüber sofort beklagen und die Ausführung unterbinden.

Hier hilft allerdings auch schon das kostenlos erhältliche Programm Brain, man muss es nur einschalten

Software von US "Spezialisten" abzulehnen

Das ist aber doch nicht verwunderlich seit den neuesten Erkenntnissen

 

[ollborg]

Wir alle benutzen auch jeden Tag Hardware, in China produziert. Außerdem ist der Code von LBE SM für einige XDAs offen.

Tor ist immernoch besser als alles gleich bei dem Amis abzuliefern. Inzwischen sollten alle mitbekommen haben das weder VPNs noch Zufallsgeneratoren für alle bekannten Verschlüsselungen sicher sind.

Mit Knox machen wir es sicherlich noch einfacher, ist doch prima wenn der größte Verunsicherer uns eine Sicherheitssoftware liefert. Behörden die sich selbst kontrollieren und eine Sicherheitssoftware vom Zerstörer der Privatsphäre im Internet! Gmpf

Ich kann es nur nochmal schreiben:

Die guten Gründe für Knox sind wohl ausschließlich im Business Bereich zu suchen. Samsung muss jetzt nicht mehr draußen bleiben vor dem Werkstor.

Ich gehe davon aus, dass ein gerooteter Androide ohne Knox ("US Sicherheitssoftware"), in den richtigen Händen, besser vor Manipulation von Geheimdiensten und Werksspionage geschützt ist, als mit. Allein schon weil ich Orbot und LBE nutzen kann.

Gewollt von der Industrie, ist aber ein Standard, der Sicherheit suggeriert und ein App Management inklusive Active Directory ermöglicht. Also reine Business Gründe.

Technisch habe ich in dem Knox Papier ein weiteres Problem gefunden. App anbieter werden angehalten sich bei Samsung als Knox kompatibel zu zertifizieren. Daher stammen wohl auch die Probleme mit den Richtlinienupdates. Künftig bekommen wir dann nur noch das was Samsung genehm ist an Apps auf das S4. Stichwort Knox App Store.

Das möchte ich als Privat Mensch nicht haben. Ich empfinde das als Ausdünnen der Vielfalt und Normierung der Masse auf Industrie/ Staaten gefällige Standards.

 

[daraven]

Ich verstehe im Moment noch nicht wirklich, worauf ihr hinaus wollt. Ihr sprecht andauernd davon, dass "es keine Lösung gibt" und das die Firmware nicht mehr so funktioniert, wie ihr "es euch vorstellt".

Wofür braucht ihr eine Lösung? Und was genau funktioniert nicht mehr





z.B Allshare geht mit ner Custom Rom nicht mehr und das ist für mich ein No Go.

 

[tiopc]

der Flashcounter ist nicht rücksetzbar. Ich hatte vorher eine pre rooted MGA drauf, Flashcounter nicht erhöht und beim flashen auf die MGG ging es schief. Jetzt habe ich den Knox Counter erhöht ohne irgend einen Custom Kernel oder Custom Rom installiert gehabt zu haben und meine Garantie ist weg. Die rom MH5 läuft prima, keine Frage. Aber das bringt mir leider meine Garantie wohl nicht wieder.

Das ist das was nicht geht!

 

[mrx]

Die Erwähnung von Einschränkungen wie sie von daravan genannt wurden sehr wichtig. Features wie HDCP für Miracast bzw. Allshare Cast können nicht mehr genutzt werden. Es könnten sich auch noch andere Einschränkungen ergeben. Ich nehme an, dass man auch nie mehr OTA Updates beziehen kann wenn die Flag gesetzt ist und es keinen Weg mehr zurück gibt. Man kann auch nicht mehr downgraden; vorbei sind die Zeiten in denen man auf eine alter Version zurückflashen konnte wenn die neue einen störenden Bug hat.

Ich finde es ein Unding dass Geräte gebrandmarkt werden für eine Änderung, die nur in der Software ist und normalerweise bisher 100%ig reversibel war. Das schränkt auch potentiell den Wiederverkauf ein.

In diesem Thread wurde meiner Ansicht nach viel zu viel darüber gesprochen, dass es doch im Prinzip "ok" ist, da man (bis jetzt) noch ein weiterhin funktionierendes Gerät hat bei dem rooten über Tricks noch möglich ist. Auch das kann sich ändern.

Der Garantieverlust für rooten hat einen sehr negativen Beigeschmack. Rooten führt aber keineswegs zwangsläufig zu Schäden. Wenn man nichts kaputt macht, erschleicht man sich also auch nicht unberechtigt Garantieansprüchen aus meiner Sicht. Bisher konnte man alles wieder 100%ig wiederherstellen. So sollte auch sein mit Software. Bei einem PC kann installieren was man will, gleichwohl hat man unter Windows Administratorrechte und verliert nicht die Garantie aus diesem Grunde.

Man kann auch Linux installieren und danach wieder Windows wie bei der Auslieferung. Bei Telefonen und Tablets wird dies zunehmend durch Beschränkungen wie Knox eliminiert; man kann nicht mehr Cyanogenmod installieren ohne das Gerät unwiderruflich zu verändern. Die Entwicklung in diese Unfreiheit ist ungesund.

Wenn Samsung Knox wirklich gut konzipiert hätte, wäre es optional und könnte aktiviert und deaktiviert werden.

 

[ollborg]

Ich danke dir für deine zusätzlichen Gedanken dazu. Ich dachte schon das Thema geht den meistem am Allerwertesten vorbei. Es sind genau diese Themen, die es mir leider nicht gestatten auch nur ein gutes Haar an Knox lassen.

Technisch würde mich jetzt dringend interessieren was passiert wenn kein Policy Server, wie im Firmenumfeld, zur Verfügung steht.

Das ist ja so bei allen Privatanwendern. Woher bezieht Knox dann seine Policies? Das geht aus den Dokumenten nicht hervor oder habe ich da was übersehen?

 

[mrx]

Ich hab mich gewundert, dass es nicht eher dazu Diskussionsthemen gibt. Wie man einer Anzahl von Beiträgen sehen kann bin ich auch eigentlich eher ein passiver Leser hier und gehe nur auf Themen ein, die mich wirklich stärker betreffen. Für mich ist dieses Thema sehr wichtig, weil ich bisher immer die Galaxy Reihe sehr geschätzt habe, aber diese neuen Einschränkungen mir für die Zukunft Angst machen.

Das Galaxy S5 kann noch so tolle Hardware haben. Wenn man nicht wie bisher immer bei Samsung sehr einfach und gefahrlos sein Gerät rooten kann, dann empfinde ich das als große Einschränkung. Allein die Einrichtung des Gerätes ohne Titanium Backup ist eine große Anstrengung, bzw. bei vielen Spielen kann man z.B. seine Daten andernfalls vergessen. ADB Backup funktioniert komischerweise auch manchmal schlicht nicht.

Bisher kann man *noch* theoretisch rooten, aber ich würde sagen nicht mehr gefahrlos. Es gehen jetzt jede Menge Dinge verloren und werden eingeschränkt.

Entsprechend fand ich dass die Diskussion eine sehr komische Wendung nahm, als thematisiert wurde, dass Leute sich damit "Garantie erschleichen". Daher war ich motiviert einzugreifen und mich zu Wort zu melden.

Wenn das Gerät tatsächlich eine efuse eingebaut hat, geht es sich aus meiner Sicht selbst "kaputt" machen. Witzigerweise gibt es wohl auch schon mehrere Berichte, dass die Warranty Flag so empfindlich ist, dass sie beim Flashen über Odin von Stock Firmware manchmal versehentlich gesetzt wird.

Insgesamt wäre es sehr traurig für mich, wenn das Galaxy S5 die tollste Hardware überhaupt hat, aber rooten nicht vertretbar ist. Dann würde das S4 vielleicht meine letztes Galaxy werden.

Ehrlich gesagt, ich verzichte gerne auf Samsung Garantie, schließlich gibt es die Gewährleistung. Mir ist nur die Hardware wichtig. Ich will gar keine Software-Garantie. Das mach ich selber. Aber die efuse von Samsung verändert die Hardware absichtlich. Es ist gegen die Kunden. Das hat nichts mit Sicherheit zu tun. Schließlich hat Chainfire wohl Knox so umgangen, dass es Rootzugriff totz Knox möglich ist ohne Knox zu entfernen. Nur efuses kann auch Chainfire nicht magisch wieder herstellen.

 

[ollborg]

Ich sehe das genauso wie du. Die Garantie ist mir völlig egal. Es geht um die geknechtete Vielfalt und Freiheit auf Samsung Hardware.

Vieleicht noch zur Erläuterung. Was ist eine eFuse:

http://en.m.wikipedia.org/wiki/EFUSE

Mit dieser Technik können Chips (also Hardware) in Echtzeit umgeschrieben werden.

 

[HaPe1968]

Samsung will die Business-Kunden, aber wird eben scheinbar die Community damit verprellen.
Das kann sich für Samsung durchaus rechnen.


Ich für meinen Teil sehe auch die Gefahr, dass wir mit all unseren Anliegen wie modden,
Kernel und Rom-tausch usw bei Samsung auf Dauer zu den unbeliebten Gästen werden.
Das S4 hab ich mir (nicht nur) wegen meinen guten Modding- und Flash-Efahrungen mit dem S2 gekauft.
Knox stößt mir jetzt sauer auf, aber es war von Anfang an angekündigt.

Das finde ich persönlich schade, ich war bisher mit den galaxys zufrieden und hätte mich
auf ein S5 in Metall, wie es ja gereade gerüchtet, gefreut. Ich glaube die Community wird weiterziehen,
Samsung wird das nicht in Ruin treiben.
Das ist von Samsung halt nun der Schritt, mit dem Sie Apple zu sehr kopieren, um mir noch zu gefallen.
Im Moment sind die Auswirkungen noch überschaubar, aber ich denke jeder von uns sieht, wohin der Weg führt.

 

[profil]

Knox stößt mir jetzt sauer auf, aber es war von Anfang an angekündigt

Zeig mir bitte eine Quelle wo das vorher angekündigt wurde.

Ich habe davon nichts gewusst, gelesen.
Erst als ich das S4 gekauft hatte, sah ich etwas von Knox auf dem Phone, ohne zu wissen was es ist

 

[HaPe1968]

Das wurde schon auf der Vorstellungs-Gala erwähnt.
Also ich wußte dass es drauf ist und erst später aktiviert wird.

Für mich macht beim nächsten Handykauf Samsung die FDP

 

[erdbeerhexe]

Zeig mir bitte eine Quelle wo das vorher angekündigt wurde.

Ich habe davon nichts gewusst, gelesen.
Erst als ich das S4 gekauft hatte, sah ich etwas von Knox auf dem Phone, ohne zu wissen was es ist

http://www.androidnext.de/news/samsung-galaxy-s4-roundup-root-tectiles-knox-und-ein-teardown/

 

[mrx]

Knox müsste gar nicht schlecht sein. Die Features wären ja durchaus schön und praktisch, wenn man damit Private und Berufliche Daten trennen und sichern kann. Es sollte aber immer optional sein. Root könnte durchaus damit harmonieren. Die Idee ist ja mehr Sicherheit zu haben, nicht aber Root zu verhindern. Das schließt sich nicht gegenseitig aus. Im Gegenteil, Root wird gar nicht verhindert.

Davon ab: Eigentlich haben die Probleme wie (a) keine Downgrade-Möglichkeit mehr, (b) keine Funktionen wie Allcast-Share mehr, (c) keine OTAs mehr und (d) keine Garantie mehr NICHTS mit den eigentlichen Knox-Sicherheitsfeatues zu tun.

 

[profil]

@erdbeerhexe

Das kenne ich, es wird aber dort wie auch überall nur von einer Sicherheitssoftware gesprochen und nicht von den restriktiven Maßnahmen die Samsung dadurch zwangsweise auf das Phone bringt.
Von einem gesperrten Bootloader war nie eine Rede.
Und eine Software ist für mich etwas was ich, wenn mir nicht gefällt, deinstallieren oder zumindest deaktivieren kann

 

[OPC_300]

Hatte mein s4 ka gerootet dann auf mh5 gegangen wenn ich jetzt wieder roote und cm10.1 installiere geht da noch was höher am counter oder Knox weil Knox bei mir schon auf 0x1 steht?

Gesendet von meinem GT-I9505 mit der Android-Hilfe.de App

 

[ollborg]

@ OPC

Bitte gehe mit dieser Frage in die Rom Threads. Dieser Thread hier ist nicht vorgesehen dafür. Das ist hier Off Topic. Bitte habe Verständnis dafür.

 

[mike_galaxy_s]

Man könnte doch in Zukunft einfach die neuen FWs modifizieren, also neuen Bootloader und KNOX entfernen, dann die FW flashen und man hat den alten Bootloader mit neuer FW. Das wäre am einfachsten.

 

[ollborg]

Ok, anscheinend wurde hier umsortiert. Jetzt hat der Titel nichts mehr mit dem zu tun was in meinem Thread besprochen wurde... Dort ging es um Knox im Detail und nicht um ein Rom. Der Titel passt jetzt nicht mehr. Außerdem sind wir jetzt außerhalb des Samsung Bereichs, dort macht dieser Thread keinen Sinn.

Wenn jemand Informationen zu Knox sucht, wird er dort suchen.

 

[frank_m]

Das Knox grundsätzlich für Business Kunden gedacht ist, ist klar. Nicht umsonst ist das S4 das einzige Gerät, dass in vielen Großunternehmen neben den Blackberrys erlaubt ist. Das rechnet sich mit Sicherheit - der Markt ist größer, als der der Modder. Aber das, was im Business Umfeld gut ist, muss im privaten Umfeld nicht unbedingt schlecht sein. Der Gewinn an Sicherheit ist auch im privaten Umfeld nicht von Nachteil. Man muss halt abwägen, ob die Einschränkungen beim Modifizieren das aufwiegen, oder nicht.

Außerdem ist es meines Erachtens nicht zielführend, über Dinge zu diskutieren, die Samsung in Zukunft mal machen könnte. Auch Standard Android könnte durch die SELinux Erweiterungen genau darauf hinauslaufen. Das ist pure Spekulation und damit im Moment für mich nicht maßgeblich. Man sollte sich an die Fakten halten, die heute bekannt sind. Ob es schlimmer oder besser wird, kann man nicht einschätzen. Aber eines sollte auch klar sein: Die momentane Situation mit den zahlreichen Einfallstoren für Schadsoftware kann keinesfalls so bleiben, sonst hat sich Android mittelfristig komplett erledigt. Daran muss sich grundsätzlich was ändern, und das wird mit Sicherheit Konsequenzen für die zugrundeliegende Architektur haben.

Dass die Custom ROM Szene bei Samsung nicht oben auf der Liste steht, sollte eigentlich jedem klar sein. Allein schon der Umstand, dass nicht der komplette Treiber Sourcecode verfügbar ist, was Custom ROMs von jeher funktional einschränkte, spricht da eine deutliche Sprache. Auch die Thematik EFS/IMEI Verlust und der BrickBug beim S2/Note1 haben immer deutlich gezeigt: Samsung zieht Änderungen und Funktionen vollkommen ohne Rücksicht auf die Community durch. Ob ein Gerät beim Flashen Schiffbruch erleidet, ist irrelevant, solange es mit den von Samsung veröffentlichten Endkunden-Tools stabil funktioniert. Das Argument ist für mich also auch nur bedingt relevant: Wenn man ein Modder-freundliches Telefon wollte, dann war man bei Samsung schon immer falsch. Es ist nur dem sehr aufwendigen Reverse Engineering der Community zu verdanken (TeamHackSung etc.), dass es überhaupt lauffähige Custom ROMs für Samsung Geräte gibt.

Das Argument, mit Root muss man ja nicht unbedingt was kaputt machen, zählt für mich ebenfalls nicht. Man kann was damit kaputt machen, das steht außer Frage. Wenn also eine solche Veränderung am Gerät festgestellt wird, dann muss das meines Erachtens auch dazu führen, dass der Endkunde beweisen muss, dass er nichts kaputt gemacht hat. Wir alle wissen, dass dies nur unter großen Aufwänden möglich ist - wenn überhaupt. Diesbezüglich ist die Aufregung aber zu einem großen Teil auch Heuchelei: Bootloder Unlocking führt auch auf anderen Geräten zum Garantieverlust, und bei vielen Herstellern konnte man die Bootloader überhaupt nicht unlocken, ohne sich tief ins Gerät zu hacken - natürlich auch unter Garantieverlust. Das Samsung mit offenen Bootloadern arbeitete, die relativ problemlos das Flashen modifizierter ROMs erlaubte, war eher ein Alleinstellungsmerkmal - und mit Sicherheit extrem teuer.

Was hier im Thread an Argumenten auftaucht, die wirklich zählen, sind Dinge, dass z.B. Allshare nicht auf Custom ROMs funktioniert. Das sind Einschränkungen, die durchaus relevant sind. Da wäre mal interessant zu wissen, woran das exakt liegt.

@ollborg: Der existierende Thread behandelt aber genau so die Auswirkungen von Knox und die Abhilfe, wie der neue.

 

[ollborg]

Mag sein aber im Titel ist der Begriff Knox noch nichtmal zu finden.

OK Hast es gändert. Vorher war der Titel:

Prävention Information - S4 - Firmware I9505XXUDMH5

Der ursprüngliche Beitrag von 19:24 Uhr wurde um 20:03 Uhr ergänzt:

Damit hier jetzt mal fundiert über die technischen Details gesprochen werden kann, ist hier der Link zu den Knox White Papers als PDF. Bitte Leute, nehmt euch die Zeit und schaut euch das mal genau an und bildet euch euer Urteil zu Knox. Ist leider in englischer Sprache, leider gibt es noch gar keine deutschen Dokumente.

White Paper-Resource | SAMSUNG

Dann übertragt dies auf die Situation wie ihr euer Handy heute nutzt und wofür ihr es gekauft habt zu nutzen.

Kein einziges Wort verraten die Whitepapers über die Auswirkungen für ausschließlich private Nutzer. Wer veröffentlicht die Security Policies? Wer veröffentlicht die Richtlinien Updates. Wer ist für deren Bewertung zuständig? Wer bestimmt für den privat User welche Apps genutzt werden dürfen und welche nicht?

Und am wichtigsten, bekomme ich als privat User die Möglichkeit zu entscheiden ob ich Knox ein oder ausschalten möchte.