Technische Diskussion zu KNOX - Sammelthread

  • 1.225 Antworten
  • Letztes Antwortdatum
My1 schrieb:
wozu n Fullwipe warum net Knox löschen und deaktivieren solange bis kein Root mehr da ist.
ein Full wipe ist kein unrot...

... und Knox kann man nicht löschen :confused:
 
mit Knox meinte ich eher den Container und die daten, sry...
nicht das Knox Programm, das wird zwangsdeaktiviert...
 
zu einem bestimmten Teil, definitiv aber nicht vollständig.
 
@Nightly ich hatte mich auf Tanis64 bezogen welcher eine (fast) Ideallösung darstellen würde, für die ich noch n paar Ideen hatte...
 
So, ich konnte umfangreiches Material mit technischen Details zu SE Android Policies finden. Das Dokument/Abstract ist in englischer Sprache und ist ziemlich umfangreich. Das muss man in Ruhe und mit Verstand lesen, dazu werde ich erst am Wochenende kommen. Ich hoffe da auf euch, bitte lest euch das auch mal durch. Das Thema ist anspruchsvoll und interessant.

Auf jeden Fall kennen wir nun den Ablageort der Policies:

Zitat:

"SE Android policy is integrated into the Android build process and included in
the ramdisk image placed within the boot partition so that
it can be loaded by init very early in boot, before starting
any other processes."

Es sind auch Beispiel Policies abgebildet am Ende des Beitrags

Hier die Infos zu den Verfassern und das Dokument:

Security Enhanced (SE) Android: Bringing Flexible MAC to Android
Stephen Smalley and Robert Craig
Trusted Systems Research
National Security Agency
f
sds,rpcraig
g
@tycho.nsa.gov

Anhang anzeigen 02_4.pdf
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: Nightly, Gene S und danbogdan
OK das erklärt alles...
 
Hier schon einmal eine wichtige (auch technische) Info aus dem Dokument mit erheblichen rechtlichen Auswirkungen.

SE Android Policy Updates kommen aus einem MDM (Mobile Device Management) System.
Ergo setzt Samsung eine MDM Lösung ein um alle Knox Geräte zu verwalten und SE Updates zu pushen. Auch in Consumer Knox.

Hier der Text dazu:

"The code from this sample app could be leveraged by MDM vendors as a
starting point for integrating support for SE Android management."

Hier ein Beitrag zu MDM und Datenschutz in der Computer Woche. Ist aber schwer auf Consumer Knox zu übertragen. Bin ich als Konsument von Consumer Knox wie ein Bring your own Device williger Mitarbeiter zu behandeln? Irgendwie alles rechtliche Grauzone.

http://www.computerwoche.de/a/mobile-device-management,2518704,2

Zitat:

Unter Juristen ist die Auffassung verbreitet, eine rechtssichere Gestaltung von ByoD erfordere eine Vereinbarung über die Auftragsdatenverarbeitung nach § 11 Bundesdatenschutzgesetz (BDSG) mit jedem beteiligten Mitarbeiter. § 11 BDSG stellt weitreichende und strenge Anforderungen an Vereinbarungen zur Auftragsdatenverarbeitung, die in der Regel in aufwendigen Verträgen umgesetzt werden. Ein solcher Vertrag müsste mit jedem Mitarbeiter abgestimmt und schriftlich vereinbart werden, der privat Geräte im Unternehmen nutzt. Bestimmte Anforderungen, etwa die Verpflichtungen zur Datensicherheit nach § 9 BDSG sind für Privatpersonen kaum umsetzbar. Die Regeln zur Auftragsdatenverarbeitung und die Bestimmungen des Datenschutzrechts insgesamt sind für die Datenverarbeitung durch Privatpersonen schlicht nicht gemacht. Ein Mitarbeiter ist außerhalb seiner dienstlichen Tätigkeit nicht Auftragnehmer sondern Privatperson.

Wenn ich mich nicht irre müsste Samsung mit allen Knox Usern (Consumer Knox) also einen Vertrag abschließen. Dieser Vertrag ist dann die Vereinbarung über die Auftragsdatenverarbeitung nach § 11 Bundesdatenschutzgesetz (BDSG).

Samsung verstößt also momentan gegen Paragraph 11 BDSG, sollten (wie beschrieben) die SE Policies aus einem MDM gepusht werden.
 
Zuletzt bearbeitet:
Steb schrieb:
Es geht in diesem Thread im Übrigen um Informationen zu Knox, es geht nicht um Einzelfälle bei denen dieses oder jenes Problem auftritt, nachdem User dieses oder jenes getan haben.


Back 2 Topic:
Mit dem Einsatz von SE Android im Galaxy S4 soll verhindert werden, dass bei der Kompromittierung eines einzelnen Teils des Systems, auch die anderen Teile kompromittiert werden.
Im Klartext: spielt man z.B. am ROM herum, dürfen sich mögliche Veränderungen ( = potenzielle Gefahrenquellen) nicht auf den Kernel oder das OS selbst auswirken.

Das stimmt so nicht. Einzelfälle (wie der meine) werden ebenfalls hier von den Admins/Mods zusammengefasst. Ich meinem spezifischen Fall hatte ich einen eigenen Threat zur Problematik erstellt...welcher dann (für mich unverständlicherweise) von den Leuten mit mehr Rechten hier mit reinverwurstet wurde.
Dementsprechend stimmt deine Aussage so nicht.
 
Cysign schrieb:
Ich meinem spezifischen Fall hatte ich einen eigenen Threat zur Problematik erstellt...welcher dann (für mich unverständlicherweise) von den Leuten mit mehr Rechten hier mit reinverwurstet wurde.
In dem Fall will ich nichts gesagt haben, denn du hast das hier ja nicht "wirklich" gepostet ;)
Ich wollte aber eigentlich darauf hinaus, dass es hier um Fakten zu Knox geht und eher weniger um dessen Verhalten, wenn der User diese oder jene Aktion ausführt.
(Bei mir kommt auch diese Knox-Meldung im Übrigen, aber das gehört hier in erster Linie nicht hin)

@ollborg
Da die rechtliche Situation ja noch nicht ganz geklärt ist, steht wohl noch in den Sternen, wie sich jetzt Consumer Knox im Vergleich zu Enterprise Knox auswirkt.

Back to Topic:
Da sich sehr viele Sicherheitsroutinen bereits im oder sogar vor dem Bootvorgang befinden, müsste man dort ansetzen.
Ich werde mich auch mal mit dem Dokument über SE Android befassen...
 
ADizzle schrieb:
Wurde eben hiermit begrüßt :D



Nachdem ich eben auch auf Version 12 der Richtlinien aktualisiert habe, bekomme ich keine Meldung mehr über eine App, welche nicht autorisiert auf System zugreifen will, und deshalb geblockt würde.
Vorher hatte ich noch Version 10 und bekam die Meldung bei jedem Verbinden mit meinem WLan
Allerdings hatte ich bei der Meldung keine Möglichkeit die Richtlinien zu aktualisieren. Dazu musste ich erst unter Einstellungen/Sicherheit den Haken bei 'Autom. Sicherheitsupdate' entfernen. Dann WLan aus und wieder an und die Meldung erschien. Diesmal aber mit der Möglichkeit die Richtlinien zu aktualisieren.
Wundern tut mich nur dass die automatische Aktualisierung bisher nicht funktioniert hat, die manuelle dann aber schon... :confused2:
 
Hallo,

bin Normaluser (verstehe von dem was hier geschrieben wird nicht sehr viel), wie werde ich die lästige Meldung SICHERHEITSINFORMATION "Eine Anwendung hat versucht....", wieder los?

Grüße

TTGTeiger
 
Steb schrieb:
...Ich wollte aber eigentlich darauf hinaus, dass es hier um Fakten zu Knox geht und eher weniger um dessen Verhalten, wenn der User diese oder jene Aktion ausführt...


Wenn User im S4-Bereich aber über diese Knox-Meldung gepostet haben wurden sie von Moderatoren aber genau auf diesen Thread verwiesen
 
@Wolf Hamburg: Danke für den Hinweis. Ich hatte bis eben auch Version 10 der Sicherheitsrichtlinien drauf. Nun hab ich ebenfalls v12. Mal schaun, ob sich damit die Meldungen bei mir auch reduzieren ;)
 
ollborg schrieb:
Samsung verstößt also momentan gegen Paragraph 11 BDSG, sollten (wie beschrieben) die SE Policies aus einem MDM gepusht werden.

Sehe ich anders, MDM wurde gerade deshalb eingeführt, das Unternehmensdaten sicher sind vor Manipulation. Gleichfalls soll es möglich sein, das Private- und Firmendaten nicht kompromittieren u.a. auch aus datenschutzrechtlichen Gründen.

Bei einer Containerlösung wie Knox in Verbindung mit SE Linux kann man jeder Anwendung eine eigene Umgebung zuweisen und eine Sammlung von Progammen, vom privaten Bereich getrennt halten.

Angreifer waren/sind in der Lage, durch Sicherheitslücken root-Rechte zu bekommen.
D.h. wenn z.B. ein Apache Server läuft und ein Programm konnte die Benutzerrechte erben, dann hatte der Angreifer Zugriff auf das ganze System. Mit SE Linux kann ich nicht nur Benutzerrechte vergeben, sondern eben auch einstellen, das der Apache nur in seinem einem Ordner läuft.
Es spielt dann keine Rolle mehr, ob Java, der Apache oder sonst eine Software eine Lücke enthält, da bei Übernahme der Rechte, der Angreifer trotzdem keinen Zugriff auf andere Ordner bekommt. Die Policen vergibt am Ende der Administrator einer Firma und genau dann muss der Mitarbeiter dafür unterschreiben, wenn er im Unternehmen sein Gerät benutzen will. Auf den Consumer, der sein Gerät nicht in der Firma nutzen will, hat das nur Einfluss, das Samsung es satt hat, das die User sich die Geräte zerschießen und permanent gegen Garantiebedingungen verstoßen.
 
ollborg schrieb:
Wenn ich mich nicht irre müsste Samsung mit allen Knox Usern (Consumer Knox) also einen Vertrag abschließen. Dieser Vertrag ist dann die Vereinbarung über die Auftragsdatenverarbeitung nach § 11 Bundesdatenschutzgesetz (BDSG).
So en Vertrag kommt durch Akzeptieren der Lizenz- und Nutzungsbedingungen zustande. Das ist völlig hinreichend für das beschriebe Szenario.
 
Keiner Witz, oder auch nicht?!
Wegen der Lizensvereinbarung: Einfach vorher den SecSetupWizard entfernen...
Dann kommt das auch nicht ;)
Mann muss die Sachen wie SamsungKonto, GoogleKonto, Telefonsparache etc dann halt von Hand vornehmen
 
Sowohl beim Einrichten der Google Konten als auch beim Anlegen eines Samsung Kontos und Benutzung der entsprechenden Apps werden die Lizenz- und Nutzungsbedingungen separat angezeigt. Dafür braucht man keinen Wizard. Wenn ich mich recht erinnere, muss man beim S4 besonders bei der Samsung Einrichtung explizit 3 Formulare separat bestätigen.

Das explizite Anhaken einer Option "Ich bin mit den oben dargestellten Inhalten einverstanden" ist eine gültige Willenserklärung des Endnutzers und damit hinreichend. Mehr macht man beim Anmelden in einem Forum auch nicht, und das wird von Richtern ebenfalls als Vertragsabschluss gewertet. In dem Breich gibt es gefestigte Rechtsprechung.
 
  • Danke
Reaktionen: SimonGleinert
OK, danke...war auch nur so ne kleine, weit hergeholte Idee.
Mich interessiert Knox sowie nicht..hab alles, was damit zutun hat, gelöscht oder eingefroren und SELinux steht bei mir auf Deaktiviert.
Eins noch, an die Profis hier.
Ich hatte bis heute morgen noch Test-S4, was keine IMEI mehr hatte.
Hab da versucht mit dem AromaFileManager den Bootloader auszutauschen.../firmware-mdm
Hat auch geklappt und als ich vom cwm in den downloadmodua gewechselt bin, hatte ich tatsächlich dasselbe Bild, wie mit dem alten Bootloader.
Dummerweise machts seitdem aber über haupt keinen Mucks mehr, also reagiert noch nicht einmal mehr auf den On/Off-Knopf, oder wenns ladegerät rein gesteckt wird...also nicht nachmachen :D
 
Die rechtliche Situation von Consumer Knox im Bezug zum BDSG (Paragraph 11) wird wohl von uns niemand zuverlässig aufdröseln können, wenn er kein Anwalt ist. Mit Lizenz und Nutzungsbedingungen hat dies nämlich nichts zu tun.

Ein Vetrag zur Auftragsdatenverarbeitung ist ein aufwändiges Papier. Ich habe diese schon manches Mal in meinem Berufsleben gesehen. Dieses Papier muss auch unterschrieben sein.

Hier eine Einführung dazu

https://www.datenschutz-guru.de/auftragsdatenverarbeitung/

Daher überlege ich ernsthaft dies über einen Fachanwalt klären zu lassen, wenn sich immer mehr bestätigt das aus einem MDM gepusht wird. Auch dies wird sich vieleicht auf diesem Weg endgültig klären lassen.
 
Zuletzt bearbeitet:
Wie wäre es erstmal den Verbraucherschutz zu kontaktieren?
Hierzu wäre es sinnvoll, wenn alle ambitionierten betroffenen ihre Stichpunkte sachlich in den Raum stellen und diese von ein oder zwei Köpfen schließlich sauber in Schriftform gebracht werden.

Sollte es soweit kommen, dass der Verbraucherschutz dann ggf. über einen Anwalt mit Samsung in Kontakt tritt, wäre das natürlich ein interessantes Szenario.
 
  • Danke
Reaktionen: flosch1980, Nightly und ollborg

Ähnliche Themen

B
Antworten
3
Aufrufe
1.080
Blacky12
B
M
Antworten
3
Aufrufe
1.512
Julian23
Julian23
Kusie
Antworten
2
Aufrufe
1.860
558958
5
Zurück
Oben Unten