Technische Diskussion zu KNOX - Sammelthread

[Nightly]

Nur so ein Gedanke :

... die Frage ist, wie Knox und Co. 'reagieren' würde, wenn man anstatt (nur) mit Software basierenden Basteleien (auch) mit Qualcomm Tools & Co. dem S4 auf Hardware Ebene zu Leibe rückt?

 

[atarifreak73]

Für mich wäre diese Gedankenlosigkeit gegenüber den Privatusern ein Grund für einen Markenwechsel, oder ist zu befürchten, dass LG, HTC & co oder gar das nächste Nexus auch einen solchen Unsinn an Board haben?

Gesendet von meinem GT-I9505 mit der Android-Hilfe.de App

 

[Steb]

Nur so ein Gedanke :

... die Frage ist, wie Knox und Co. 'reagieren' würde, wenn man anstatt (nur) mit Software basierenden Basteleien (auch) mit Qualcomm Tools & Co. dem S4 auf Hardware Ebene zu Leibe rückt?

Und an welchen Teil der Hardware dachtest du da genau?
Laut den Whitepapers (ich beziehe mich wieder auf Secure Boot) dürfen Kernel, Bootloader und System Image dabei nicht berührt werden, da sonst das Gerät nicht ordnungsgemäß startet o.Ä.
Weiterhin dürfen auch nicht die X.509-Zertifikate, die in die Hardware "gebrannt" wurden, berührt werden, da sonst wieder das Gerät nicht startet.
(Quelle: Samsung Knox Whitepapers, Abschnitt über Secure Boot)

Aber das bringt mich auf einen ganz anderen Gedanken: was passiert, wenn man das S4 aufschraubt und Hardware-Teile (kurzzeitig) entfernt?
Vermutung: Sollte eine Sicherheits-Routine auch bei ausgeschaltetem Phone laufen, könnte diese die Integrität der Hardware prüfen und ggf. die eFuse auslösen bzw. Knox flag 0x1 setzen.
Gegenvermutung: Dann würden Reparatur-Services aber überflüssig werden, da niemand sein Knox-Phone durch Reparatur kompromittieren lassen würde.
Oder aber Samsung wird dann zum obligatorischen Reparaturservice und baut gleich ein neues unberührtes eFuse ein.

 

[meandtheKatera]

Für mich wäre diese Gedankenlosigkeit gegenüber den Privatusern ein Grund für einen Markenwechsel, oder ist zu befürchten, dass LG, HTC & co oder gar das nächste Nexus auch einen solchen Unsinn an Board haben?

Gate heisst, was LG auf seine Kunden loslassen wird und ich nehme stark an dass es damit nicht genug ist und weitere Hersteller auf den Zug aufspringen werden

 

[profil]

Das wir aber erst in Amerika getestet und bis\ob das von LG dann wirklich eingeführt wird ist wohl mehr als fraglich im Moment.
Unser Problem hat auch einen Namen, Merkel Angela.

Neue Schlagzeile im Spiegel
"Merkel bremst beim Datenschutz in Europa"

 

[profil]

Das ist keine Verschwörungstheorie, das ist ein aktueller Artikel im Spiegel, sehr lesenswert

 

[mrx]

@frank_m: Ja das war Off Topic. Aber ich finde es einfacher Kommentare zu ignorieren statt mit Drohungen zu erwidern. Der Thread hier hat auch nicht "technisch" oder so im Titel verankert und wenn das Thema geschlossen ist kann niemand hier mehr was diskutieren. Ich finde Privatnachrichten dafür overkill, das Thema ist hier in der Plauderecke. Sollen dann für alle Themen, die indirekt damit zusammen hängen neue Threads eröffnet werden?

Eine Idee: Man könnte einen neuen getrennten Beitrag aufmachen, der nur Informationen enthält, die aus dem Thread hier gesammelt werden, in dem man nicht normal diskutieren kann.

 

[frank_m]

@profil: Jetzt fängst du schon wieder mit den Verschwörungstheorien an? Was soll das? Ich hatte doch deutlich genug aufgefordert, das sein zu lassen, oder?

Mein Finger schwebt jetzt echt über dem Schließen Button. Ich geh noch mal kurz raus, dann entscheide ich ...

Der ursprüngliche Beitrag von 19:38 Uhr wurde um 21:13 Uhr ergänzt:

Ok, ihr wolltet es nicht anders. Ihr hatte noch ne Chance, aber wenn es wieder direkt weitergeht ...

Falls jemand sinnvollen Input zu diesem Thread beizutragen hat, schickt mir ne PN. Dann schau ich mir das an und werde es ggf. hier veröffentlichen. Ich hab oft genug darauf aufmerksam gemacht, dass ewige Offtopic Posten sein zu lassen. Wenn dann direkt nach meinem Hinweis weitere vollkommen unpassende Beiträge kommen, dann wundert euch nicht über die Konsequenzen. Bevor ihr jetzt mich mit Beschwerden zuschüttet: Schickt es an die entsprechenden Verursacher. Die sind ja einfach genug zu identifizieren. Mir scheint, einige haben es drauf angelegt, hier die Diskussion absichtlich zu zerstören. Anders ist es jedenfalls kaum zu erklären, dass immer grad nach meinen Warnungen besonders ins Offtopic diskutiert wurde. Und ja: Ich bin auch sauer auf die Leute.

Um es direkt ganz deutlich zu sagen: Jeder neue Thread zu Knox wird unmittelbar gelöscht und verwarnt!


Und zu.

 

[frank_m]

Hallo,

so, ich habe den Thread wieder geöffnet, in der Hoffnung, dass hier nun sachlich diskutiert werden kann. Und noch Mal: Ich will hier keine Spekulationen übers Kanzler Handy oder ähnliches lesen! Das hat einfach nichts mit Knox zu tun.

Ich hatte ja gesagt, dass ich mir mal die Kommunikation eines Knox Handys näher ansehen wollte. Das hab ich getan. Erst mal muss ich sagen, dass so ein Handy ne ganze Menge macht im Laufe des Tages.

Ich hab extra eines genommen mit möglichst wenig Konten und möglichst wenig Apps. Dazu hab ich einige klassische Apps wie z.B. ChatOn deaktiviert. Damit wollte ich die Chancen erhöhen, die Knox Kommunikation isolieren zu können, ohne sie aus einem unüberschaubaren Wust von Sessions heraussuchen zu müssen.

Offensichtlich hostet Samsung ne Menge Services auf Amazon Cloud Servern. Aber auch bei Microsoft scheint Samsung Dienste zu hosten. Jedenfalls kommen bei einigen DNS Anfragen, die auf Samsung Domains zeigen, IPs von Microsoft Servern zurück.

Erst mal: Nahezu jede Kommunikation läuft über HTTP oder HTTPS. Damit war meine Hoffnung schon mal zunichte, die Knox Kommunikation anhand des Ports zu isolieren. Aber HTTP bzw. HTTPS hat natürlich den Vorteil, dass es an nahezu allen Internetzugängen funktioniert. Mit Abstand das meiste war HTTPS und folglich verschlüsselt. Es gibt also keine Möglichkeit, die Inhalte der Pakete zu lesen.

Sachen wie Google, Dropbox, Accu Waether und so hab ich außer Acht gelassen.

Nach längerer Beobachtung bin ich zu dem Ergebnis gekommen, dass es keine dedizierte Knox Kommunikation gibt. Jedenfalls konnte ich keine sniffen, und ich hab recht lange gesucht. Samsung scheint diese Dinge entweder über die Samsung Apps oder über Samsung OPS abzuwickeln.

Am Anfang werden HTTPS Verbindungen zu Samsung Apps Servern aufgebaut (z.B. de-odc.samsungapps.com). Einige der Zugriffe konnte ich auf IP Adressen der CDNetworks Inc zurückverfolgen.

Dann gibt es Zugriffe auf eine Domain namens "samsungosp.com", eine Infrastruktur, die Samsung u.a. für Tizen nutzt. Darauf gibt es diverse Zugriffe. Auf "gld.push.samsungosp.com" sieht es mir so aus, als ob ein HTTP Push Service aufgezogen wird (ein Request mit sehr langem Timeout). Eine IPv6 basierte Kommunikation gab es übrigens noch mit "eu.sc-proxy.samsungosp.com". Es gibt auch Zugriffe auf "sc-auth.samsungosp.com" oder "api.samsungosp.com". Auch da könnte ich mir die Knox Anfragen vorstellen.

Insgesamt muss ich festhalten, dass die Datenmenge all dieser Anfragen klein war. Zu den Samsung Apps Servern sind es ca. 40 kByte in 24 Stunden (Up- und Downstream). Zu SamsungOSP weniger als 100 kByte. Einen besonderen Schwerpunkt der Kommunikation gibt es direkt nach dem Einschalten. Danach ist ziemliche Ruhe. Nun war das Handy natürlich "gesundgeschrumpft": Kaum Apps, kaum Konten, kein Root usw. Wenn mehr los ist auf den Geräten, dann könnten auch mehr Daten anfallen.

Ich hab im Moment auch keine Möglichkeit, ein anderes Gerät längerfristig zu überwachen. Ein S4 brauche ich als Diensthandy, und das 2. dient der Überwachung. Dieses zweite Gerät kann ich aber leider nicht rooten oder umflashen.

Aber vielleicht hat ja jemand von euch die Möglichkeit? Mich würde schon interessieren, wie die Kommunikation zu Samsung Apps und zu SamsungOPS ergibt z.B. auf gerooteten Geräten, auf Geräten mit Custom ROMs oder einfach mit mehr Apps. Da gibt es ja mehr Informationen, die man mit den Samsung Servern abgleichen kann, z.B. in Bezug auf die Policies. Daraus könnte man mehr Rückschlüsse ziehen.

Das Sniffen der Daten ist nicht ganz einfach. Ich habs mit nem Raspberry Pi als Router gemacht, auf dem tcpdump lief. Es geht auch mit Fritzboxen: indem man die URL http://fritz.box/html/capture.html aufruft kann man z.B. den Traffic einer WLAN Schnittstelle mitschneiden. Das Ergebnis liegt im Wireshark Format vor. Wenn man dafür sorgt, dass das Knox Handy das einzige Gerät im Netz ist, dann fällt die Analyse auch recht einfach.

 

[mike_galaxy_s]

Man kann ja im EIGENEN Netzwerk einfach über den PC ARP-Spoofing betreiben (@Mods: Bitte diesen Beitrag löschen/editieren, falls ARP-Spoofing im eigenen Netzwerk illegal ist) und mit Wireshark alles aufzeichnen, was für's S4 ist. Ich werde das mal versuchen.

 

[Nightly]

... eine modified MITM klingt für mich zweckdienlich. Mal sehen, was da so machbar ist, um Knox zum singen zu bringen ;-)

 

[Tanis64]

Wenn das den Tatsachen entspricht was bei den XDAs gepostet wurde
(Knox is a software trigger and can be reset ! - xda-developers) dann bezweifle ich mal das es sich tatsächlich um eine e-fuse handelt:

Hier mal das Zitat von xda_q8 und die (grobe) Übersetzung:
​

Knox is a software trigger and can be reset !

Hi all,
First of all pardon me for my poor English.

Today I went to Samsung service center to fix my note 3 SM-N9005 after I missed up with it.. no efs folder, no IMEI, bootloader flashed to MJ3 and the Konx was 0x1 actually warranty void..

The technician guy checked the Konx and told me the warranty is void but don't worry I will fix it for free.

The surprised thing is that they have fixed my mobile within 10 minutes.
After fixing it.. I checked the the Konx is back to 0x0 so they reset it !.
The bootloader back to MJ1 so they downgraded the bootloader !!.
IMEI and serial no. never changed !!.
And no hardware change at all.. so now, its very clear the Konx trigger is a software trigger and can be reset again with some how.
Sent from my SM-N9005 using XDA Premium 4 mobile app

Knox ist ein software trigger and kann resetet werden ! Hallo an alle,
Zuerst möchte ich mich für mein schlechtes Englisch entschuldigen

Heute ging ich zum Samsung Service Center um Note 3(SM-N9005) reparieren zu lassen das folgende 'Defekte' aufwies:
kein efs Ordner
keine IMEI
Bootloader auf MJ3 geflasht
KNOS Warranty Void Flag 0x1

Der Techniker prüfte KNOX und sagte mir das die KNOX Garantie erloschen ist, aber machen Sie sich keine Soregen ich reparier das umsonst.

Das Überraschende war das sie mein Mobile innerhalb von 10 Minuten repariert hatten.

Nach der Reperatur habe ich folgendes überprüft:
KNOX Warranty Void Flag ist wieder auf 0x0 so sie haben es resetet!
Der Bootloader wurde auf MJ1 downgegraded!
IMEI und Serial Number wurden nie verändert!
UND keinerlei Hardware Austausch..
So nun ist es sehr klar dass das KNOX Warranty VOID Flag ein Software Trigger ist und resetet werden kann.

Sent from my SM-N9005 using XDA Premium 4 mobile app

Also wenn das wirklich den Tatsachen entspricht wird da hoffentlich bald was durchsickern wie das ganze aufgebaut ist und wie es zu fixen ist
Ich weiss der Beitrag behandelt das Note3, aber ich gehe mal davon aus das dies beim S4 nicht anderst ist.
MFG

 

[ollborg]

Die Verbindungen zur Amazon Cloud decken sich mit einem Gespräch, dass ich mit einem höheren Samsung Mitarbeiter, aus Deutschland, zum Thema Knox hatte. Hier wurde, mehr aus Versehen, darüber gesprochen und der Hinweis auf die Amazon Cloud für Knox gegeben.

Da diese Information aber nicht gesichert war, habe ich sie bisher zurückgehalten. Ich denke hierauf sollte man sich konzentrieren.

Bei Enterprise Geräten sollte auch eine Verbindung zu General Dynamics aufgebaut werden, zur Android Image Betankung. So steht es in deren Beschreibung. Dort werden Gold Images mit ihrem hochsicherheits Android gehostet.

Die DNS Anfragen an Samsung, welche von Microsoft Servern erwidert werden, lassen sich eventuell auch erklären. Samsung hat ein Lizenzabkommen, wegen verwendeten Patenten, mit Microsoft. Microsoft verdient also an jedem Samsung Android Device. Vieleicht werden hier Lizenzen automatisch gezählt.

Quelle:

http://winfuture.de/news,77196.html

 

[manu2711]

Guten Abend,

da ich nicht unbedingt 80 SSeiten durchlesen möchte, in denen auch noch viel off-topic stecken,
Hier die einfache Frage zu dem Thema:

Warum funktioniert der Knox-Notification-Manager, obwohl die App nicht installiert ist (bzw nach testen wieder deinstalliert wurde)?
Er meldet ja irgend eine App ohne Zugriff, wie kann ich rausfinden, welche App das ist um die Berechtigung vorzunehmen oder aber, wie stelle ich diese überaus nervige Benachrichtigung aus?
Sie ploppt zb ja sofort auf, wenn ich per wlan verbunde werde.
Wäre schön, wenn es dazu einen Lösungsvorschlag gäbe.

LG Manu

P.S. ich kann mein Handy zwar bedienen, aber von cracks oder roots habe ich keine Ahnung

 

[Kouya1600]

Wenn das wirklich auf SW Basis gelöst ist dann wäre das ja wunderbar.
Auf dem Mainboard ist ein unbenutzer Steckplatz. Ich habe die Vermutung das man damit Resetten/Downgraden kann.

 

[SimonGleinert]

Hallo...
Verfolge das hier nun schon ein paar Tagen.
Bei mir ist folgendes: Hab anfang der Woche die stock mj5 von samsung-updates.com geladen, da ich mir dachte, das früher oder später wahrscheinlich sowieso ein Wechsel zwingend erforderlich ist.
Da ich aber unterwegs war, hab ich's einfach mit MobileOdin geflasht und alles angeklickt, was zur Verfügung stand.
Hat soweit auch gut funktioniert, nur das sich immer die Tastatur aufgehangen hat.
Hab dann später noch mal mit den normalen Odin die mj5 geflasht + CF-Auto-Root + PhilzTouch...Und mein KnoxCounter steht nach wie vor bei 0!!!
Warum weiss ich nicht, n Downgrade ist aber trotzdem nicht möglich
Aber darum gehts gerade auch nicht!
Bei mir ist folgendes: Nachden ich die stock geflasht habe, bin ich wieder zurück zur BobCat v6 (4.2.2)
Mein Ding ist nun folgendes: Normalerweise verwende ich immer den Hacker oder Ausdim Kernel...diese laufen auch in der Kombination: Neuer Bootloader + Android 4.2.2
Was hingegen nicht funktioniert ist: Neuer Bootloader + StockKernel mi1 + Android 4.2.2
Weiss da jemand warum?
Der Kernel ist der StockKernel von der mi1 und scheinbar erkennt der neue Bootloader auch das es ein SamsungKernel ist, den es erscheinen keine Warnhinweise beim booten...trotzdem vibriert das s4 nur 3-4x und landet dann wieder beim Bootspalsh?!

 

[Kouya1600]

Simon
Ich glaube das ist zwar OT
Aber gehe mal ins Recovery und mache einen Hardreset.

 

[Nike83]

Hallo allerseits,

ich bin neu in der Android-Welt und habe auf meinem S4 auch ständig diese komische Sicherheitsmeldung. Habe mir ein paar Seiten hier durchgelesen, aber leider verstehe ich nur Bahnhof was hier im Thread so erzählt wird.

Das einzige was ich so mitgenommen habe ist, dass ich mit dieser komischen Nachricht leben muss bzw. man diese nicht ohne weiteres wegbekommt, ist das so richtig?

Habe übrigens 4.3 Jelly Bean drauf, aber hatte die Meldung auch schon davor meine ich.

 

[andi1203]

Hallo,

Mir ist aufgefallen, dass ich immer diese Meldung bekomme, sobald ich wlan anschalte. Ich habe mir auch schon hier einiges durchgelesen, aber auch nicht das richtige gefunden. Gibt es hierfür eine Lösung?

 

[My1]

fiel mir auch auf, naja ich hab dem gesagt 30 tage ruhe und per wanam xPosed dafür gesorgt das das ding ganz still ist...