Technische Diskussion zu KNOX - Sammelthread

[frank_m]

Da steht nun Aussage gegen Aussage. Außerdem steht da nicht, dass es die Daten aus dem Knox Container betrifft. Da steht nur, dass es einem Hacker gelingen kann, Daten und eMails auf dem Gerät abzufangen. Das können auch die außerhalb des Knox Containers sein. Darauf deutet eben auch der Hinweis von Samsung hin, dass die Client Software nicht installiert war. Das könnte also eine "ganz normale" Android Sicherheitslücke sein. Und gerade um deren Einfluss zu minimieren wurde Knox ja entwickelt.

Interessant ist es trotzdem, denn für die erwähnten Aktionen braucht man Root Rechte. Das könnte also bedeuten, dass die Forscher einen Weg gefunden haben, ein S4 zu rooten, ohne dass das Knox Flag gesetzt wird. Da wäre es natürlich schön, wenn die Forscher die Lücke veröffentlichen würden. Leider scheinen sie nur Samsung darüber informieren zu wollen, damit die Lücke nicht ausgenutzt wird.

Prinzipiell ist es natürlich möglich, den Datenverkehr des Knox Containers mitzuschneiden. Das haben wir hier ja auch schon in der Analyse Phase gemacht. Die Frage ist, was es einem nützt, denn die Kommunikation ist üblicherweise verschlüsselt. Niemand wird in einem aufwendig gesicherten Knox Container eine unverschlüsselte eMail Verbindung einrichten ... denke ich mal.

 

[Tanis64]

Sorry war mit den Posten der zweiten Quelle zu langsam, da steht das es mit einer App geht, und sowie ich das da verstehe braucht diese App keine Rootrechte.
Es gibt ja bereits Möglichkeiten das S4 zu rooten ohne das KWV Flag zu triggern, nur sind die halt ZURECHT umstritten. Vielleicht haben die dort ja diese Methode gewählt.
Fraglich ist, und da geb ich Dir Recht, ob das auch mit einem korrekt installiertem und aktiviertem Client so möglich ist.

 

[frank_m]

Es wird leider nicht so richtig klar, was die da machen, auch aus der zweiten Quelle nicht. "Die Datenkommunikation des Knox Containers kann mitgeschnitten werden". Ok. Wenn es nur das ist, dann ist es herzlich unspektakulär, denn das haben wir schon vor Monaten gemacht. Da muss noch mehr dahinter stecken, was aber leider nicht öffentlich gemacht wird.

Wenn sie eine gefundene Sicherheitslücke ausnutzen, dann kann es natürlich auch sowas harmloses wie ein Computerspiel sein, dass diesen Exploit beinhaltet. Das ist ja bei den bisherigen Lücken auch so.

 

[Nightly]

Offensichtlich ein Angriff auf die Kommunikationsschnittstelle zwischen Container und nicht sicherer Umgebung?
Zumindest liest sich das ganze so.
Wirklich neu wäre der Ansatz zumindest nicht.

 

[Seneca1992]

So, ich spiele jetzt auch mit dem Gedanken, mir ein Galaxy Note 3 zuzulegen.

Bin dann auf diese Knox-Problematik gestoßen, brauche für diverse Apps eigentlich Root.


Wenn ich roote geht der Counter hoch? Unvermeidbar?
Was habe ich dadurch verloren?

 

[NewTab]

1) ja
2) nein
ja = kein Samsung Gadget kaufen ... und
3) Garantie

 

[bitstopfen]

Ich habe das Note 3 und finde es einfach Hammer. Ich habe Knox auf 1. Alles andere wie Counter usw. verhält sich so wie beim S3. Dein Telefon wird nicht unbrauchbar, sondern Knox. Das kann man dann deaktivieren und zum größten Teil entfernen.

 

[Seneca1992]

1) ja
2) nein
ja = kein Samsung Gadget kaufen ... und
3) Garantie

Danke. Gut, das juckt mich nicht. Amazon-Service ist sowieso besser als die Garantieabteilung von Samsung.

 

[Tanis64]

Es hat sich anscheinend bestätigt dass das KNOX Warranty Void Flag im Replay Protected Memory Block des eMMC liegt.
http://forum.xda-developers.com/showthread.php?p=48829949

 

[newtom]

Und das bedeutet nun was?

 

[ThA500]

Und das bedeutet nun was?

Es sollte ähnlich wie beim Flash Counter vom s2 möglich sein diese Protection zu umgehen und einen Reset des Werts durchzuführen

 

[mike_galaxy_s]

Der normale Custom Binary Counter liegt auf mmcblk0boot0 und das ist einfach eine normale Partition, die aber versteckt ist.

 

[Nightly]

Some 'older' News and new insights :

Another company touching this area is Centrify. Samsung’s KNOX system is partly built with Centrify’s Active Directory-based mobile security and cloud identity technology.

Centrify’s press release states:

As part of this OEM agreement, Centrify will help Samsung power the growth of an easy-to-use, developer kit and ISV app ecosystem for Android in the enterprise through the licensing of its Mobile Authentication Services (MAS) Software Development Kit (SDK) into the Samsung for Enterprise (SAFE) SDK Framework. This enables any Android app developer to use this SAFE mobile client SDK within their rich native mobile app to enable “Zero Sign-On” from devices running KNOX to their cloud-based applications. This Zero Sign-On goes beyond traditional SSO for devices enrolled in the Centrify Cloud Service, by allowing users one-click sign-on to enterprise apps without having to enter a username and password.

UPDATE 4-Dec-2013:
Note an update as part of Android “KitKat” 4.4 the company writes (about enhanced security):

Security improvements in Android 4.4, from the community:

In Android 4.4, we reinforced the Android sandbox (which prevents applications from extending outside of their own area and damaging other parts of a device)
by
putting
SELinux
into
enforcing mode :thumbdown
, providing one of the strongest security systems available.

The core of SELinux, as well as many of the Android specific extensions have been contributed by third-parties through open source, an example of real security improvements from the community you can use today

... Prost, Mahlzeit

 

[Masta_Gee81]

@thehacker

Ist das aber nicht nur bei Sammy Roms ???

Denke nicht das Cm was damit zu tun hat oder?

Bitte um Erklärung. Weil Knox ja nur Sammy Rom´s vorbehalten ist?!


Greetz M@sta

 

[thehacker911]

Schaue dir mal die Bilder an.
Knox ist nicht nur Software sondern auch Hardware. Knox ist eine eFuse.

 

[worldzocker]

Und wie kann Samsung das zurück setzen?

 

[thehacker911]

Die können es nicht zurücksetzen. Es gibt keine Möglichkeit. Der Knox Code liegt auf den Server der NSA. Der ist lesbar und die Android Elite hat diesen Code untersucht. Es gibt keine Möglichkeit, nicht mal für Samsung.

 

[worldzocker]

Dann waren es falsch Meldungen von XDA Usern?

 

[Spevil]

Hört sich garnicht gut an!
Ich frage mich ernsthaft warum Samsung dann diesen Weg geht.
Nur um die modder aus zu sperren?

 

[thehacker911]

Wenn Samsung eine Hintertür hätte, wäre es vorbei mit den Business Sektor. Die Meldungen sind Fakes. Chainfire findet nix raus obwohl er die nötigen Dokumente hat (das weiß ich aus sehr sicherer Quelle)