Technische Diskussion zu KNOX - Sammelthread

[Andi1000]

Da hab ich auch schon anderes gelesen, dass wohl Root vorhanden war nur TB geblockt wird.... Hmmmm

@Ghostwalker
Nur die weiteren ausgerollten Fw von Samsung werden sicher nicht besser. Nur wann fängt man an den Schritt zu wagen.
In allen anderen Punkten geb ich Dir uneingeschränkt Recht. Deshalb bin ich noch auf der MGA.
Nur es geht nichts vorwärts

 

[ollborg]

Der Link ging bei mir auch erst nicht. Hier nochmal.

http://www.internetsociety.org/sites/default/files/02_4.pdf

 

[Ghostwalker]

Da ich zum Glück auch noch auf der MGA bin, kann ich das leider weder dementieren noch bestätigen.

OT: Solange das alles noch 4.2.2 ist, kann ich mir das Updaten sehr wohl verkneifen, da mein S4 z.Z. auch einwandfrei läuft. Außerdem weiß man ja bei Samsungs Changelogs sowieso nicht, was und wieviel alles von MGA nach MH5 oder neuer geändert worden ist.

 

[Nightly]

Zitat Frank
Auch Snowden hat gesagt, dass entsprechende Sicherheitsalgorithmen, wie z.B. AES, SSL oder die üblichen Zertifikate mit hybrider Verschlüsselung, bei entsprechender Schlüssellänge die einzigen Dinge sind, denen man noch vorbehaltlos vertrauen kann.

... darauf würde ich nicht wetten, ich kenne diverse Szenarien und technische Lösungen, welche angeblich sichere Techniken effektiv aushebeln und GEGEN den User anwendbar machen, dabei arbeite ich nicht beim NSA

Die Zeit wird zeigen, inwieweit uns Samsungs neueste 'Innovation' (nach meinem Dafürhalten ist es trotz aller relevanten Verbesserungen eher eine Gängelung) im Alltag bereichern wird.

Der ursprüngliche Beitrag von 22:55 Uhr wurde um 23:00 Uhr ergänzt:

... interessant wäre allerdings, wie Samsung auf eine Art offener eBrief (basierend auf einem Form Mailer) reagieren würde, welcher in allen relevanten Foren gepostet jedem interessierten User mit ein paar Klicks die Möglichkeit bietet, dem Konzern die Meinung zu geigen ; )
So ein gepflegter Shit Storm kann auch positiv eingesetzt werden

 

[frank_m]

Wer hat den Thread denn umbenannt und an diese Stelle verschoben? Ich finde den Titel und die Stelle nun nicht mehr sehr zielführend. Plauderecke?? Ich finde das Thema sehr wichtig und relevant.

Der Grund, warum der Thread hier ist, steht oben und auch im Firmwarethread. Das ist die gleiche Vorgehensweise, wie sie auch beim Sudden Death gewählt wurde, und die sich bewährt hat. Hier in der Plauderecke kann deutlich zwangloser und themenoffener über alle Aspekte des Themas diskutiert werden, als im Geräteforum.

Stattdessen wird hier aus meiner Sicht alles so runter diskutiert, als wenn alles (NOCH) nicht so schlimm ist. Wenn erstmal der Anfang getan ist, sollte man sehr vorsichtig sein...

Was ist denn heute schon schlimm? Außer HDCP gibt es dafür immer noch kein Beispiel. Bei XDA Developers berichten sie auch seit Ende August über einen Fix für das HDCP Problem bei Custom ROMs und Root, der immerhin auf dem S3, dem S4, dem Note2 und dem Note8 funktionieren soll. Vielleicht sollte man sich das mal näher ansehen.

Auch Thema Weiterverkauf und Rückkehr zu Stock werden beeinträchtigt.

Wenn du dein Auto mit falschem Sprit betankst, den Motor per Kennlinien-Modifikation tunst und Kratzer und Dellen rein machst, dann hat das auch Einfluss auf Garantie und Wiederverkauf. Merkwürdigerweise wundert es da niemanden, wenn die Autohersteller sich querstellen.

Jeder Windows PC hat Adminrechte. Ist er deshalb kaputt?

Nicht jeder. Und wenn du mit den Administratorrechten deine Windows Installation löscht, dann versuche mal, den PC vom Service auf Garantiekosten reparieren zu lassen. Bin gespannt, was die dir erzählen.

Selbst root ist es doch sehr schwer das Gerät kaputt zu machen. Wie mache ich es überhaupt? Versuchen das Gerät zu Übertakten und dadurch kaputt zu bekommen? Spätestens mit JTAG kriegt Samsung doch bestimmt jedes Galaxy wieder hin egal wie schlimm man es Sofwareseitig umprogrammiert hat.

Sorry, aber das ist hanebüchener Unfug. Falsches Rooten des S3 zerstört den Touchscreencontroller. Beim S2/Note Brickbug zerstören die Custom Recoverys den Flash Speicher irreparabel. Beim S1 konnte man durch Einspielen einer falschen Kamerafirmware die Kamera zerstören. EFS/IMEI Verlust ist hinlänglich bekannt auf allen Samsung Geräten seit Jahren. Übertakten oder auch Tools zur Lautstärkeerhöhung können die Hardware beschädigen.
Fazit: Durch rooten oder den falschen Einsatz von Flashtools ist es ein leichtes, die Geräte ernsthaft zu beschädigen.

Wir User sollten doch hier als Community zusammen halten und unsere Anliegen durchsetzen.

Nicht jeder hat das gleiche Anliegen. Ich finde, es sollte erlaubt sein, auch mal die andere Seite der Thematik zu beleuchten.

Die Idee neuen Firmwares ohne den neuen Bootloader klingt gut, hatte ich auch schon. Ich weiß nicht, wie praktikabel das in Zukunft sein wird.

Wenn sich die Komponenten zweistufig gegenseitig überwachen, wie im Whitepaper beschrieben, dann ist es ein Leichtes, das System nicht mehr starten zu lassen, wenn ein falscher Bootloader installiert ist. Ich weiß aber nicht, ob Samsung das macht, und ob sie es überhaupt wollen.

Wenn wir uns jetzt nicht gegen den Knox Bootloader (nicht die Businessfunktionen) in irgend einer Form (z.B. durch Softwarelücken) wehren kann es durchaus sein, dass Samsung irgendwann root endgültig unterbindet.

Ich glaube nicht, dass das das Ziel ist. Das hätten sie zum einen einfacher haben können, und zum anderen steht ja genau das Gegenteil in dem einen Whitepaper, die oben verlinkt sind: Bleibe offen und erhalte die Flexibilität, aber biete trotzdem die nötige Sicherheit für die gewerblichen Einsatz. Das ist das Ziel von Knox. Um eine grundsätzliche Unterbindung von Root oder Modifikationen geht es nicht. Wenn das das Ziel gewesen wäre, dann ist Knox dilettantisch programmiert. Denn rooten und Modden kann ich nach wie vor, ohne eine Sicherheitslücke oder einen Exploit ausnutzen zu müssen, einfach durch die etablierten Mechanismen, die Samsung selber beim Flashen benutzt.
Es geht um die Einschränkung des unerwünschten und unabsichtlichen Einsatz von Root für Schadsoftware.

Zugegeben: Da läuft noch nicht alles rund. Teilweise werden Apps in der Funktion beschnitten, die eigentlich harmlos sind. TitaniumBackup ist ein Beispiel. Man muss aber auch festhalten: Mit seiner Art, die Daten von anderen Apps auszulesen (um sie zu sichern), benimmt Titanium sich genau wie ein Spion, der die Daten ausschnüffeln möchte. Das ist schwierig zu unterscheiden. Aber ich denke, dafür wird sich früher oder später eine Lösung finden. Da sehe ich den Ball aber offengestanden eher bei Titanium.

Neue Snowden-Enthüllungen: NSA knackt systematisch Verschlüsselung im Internet

http://www.spiegel.de/politik/auslan...-a-920710.html

Ja, ein typisches Beispiel für dilettantischen Boulevard Journalismus. Mache dir mal die Mühe und lies die Original Snowden Aussagen dazu, wie sie u.a. in der c't Analyse einige Tage nach diesen Schlagzeilen zitiert wurden.
NSA und GCHQ: Großangriff auf Verschlüsselung im Internet | heise Security

Die Veröffentlichungen liefern keine Hinweise darauf, dass es NSA oder GCHQ gelungen wäre, aktuell als stark eingestufte Verschlüsselungsverfahren wie AES mit ausreichend langen Schlüsseln zu kompromittieren. Im Gegenteil: In einem Interview mit dem Guardian bestätigte auch Insider Edward Snowden: "Verschlüsselung funktioniert. Sauber implementierte, starke Verschlüsselung ist eines der wenigen Dinge, auf die man sich noch verlassen kann."

 

[Andi1000]

So bin ich bis jetzt auch gefahren. Nur der Drang zum Updaten ist, wie auch immer, da.

Einige berichten ja über besseren Empfang... Natürlich alles sehr individuell.

 

[Spevil]

der empfang liegt aber nur am modem, die kannste ja flashen wie du willst
dafür haben wir ja die datenbank!
nochmal zum sichern zurück zu kommen, ich persönlich sichere nur meine Benutzer Anwendungen und stelle auch nur die wieder her!
bisher bin ich damit gut gefahren und habe damit noch nie probleme gehabt.

 

[ollborg]

Nur als Info für unsere Diskussion rund um Knox.

Es gab ja viele deren S4 nur noch ohne Wfi und ohne Sound startete nach missglücktem Flash Vorgang.

Bei den XDAs gibt es jetzt einen Workaround der das S4 wieder nutzbar macht bis auf die obligatorischen Counter. Ich verlinke hier jetzt nicht, da hier soweit ich das überflogen habe, niemand betroffen war. Falls doch werde ich die Info noch verfügbar machen.

Das mit dem Spiegel Beitrag muss jeder selbst bewerten. Frank schrieb auch über SSL und das ist definitiv nicht sicher.

VPN mit PPTP gesichert darf man auch abhaken.

http://m.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.html?from-classic=1

Bei AES kann man wohl noch Sicherheit vermuten.
Aber wir schweifen zu weit ab vom eigentlichen Thema.

Allerdings weiß ich nicht wer diese nichtssagenden Posts jetzt in diesen Thread geschoben hat.

Kann das mal bitte jemand beheben?

 

[frank_m]

Frank schrieb auch über SSL und das ist definitiv nicht sicher.

Die grundsätzlichen Verfahren hinter SSL sind nach wie vor sicher. Implementierungsfehler, wie z.B. in OpenSSL, die für Exploits benutzt werden können, sind was anderes. Man sollte nicht eine konkrete Implementierung mit einem Standard gleichsetzen. Wie man dem verlinkten Artikel entnehmen kann, hat sich die NSA auch nur durch Kompromittierung der Server Zugriff auf die Datenströme verschafft.

VPN mit PPTP gesichert darf man auch abhaken.

Das wissen wir seit 1999.
https://www.schneier.com/paper-pptpv2.html
Wenn die NSA darauf angewiesen ist, dass man PPTP nutzt, um an die Daten zu kommen, dann können wir heute Nacht ruhig schlafen.

 

[ollborg]

Zusätzlich auch durch manipulierte und fehlerhafte Zufallsgeneratoren.

@Frank

Hast du ne Ahnung wer die nicht passenden Posts hier rein schiebt? Siehe #106 #107 #103 #101 #99 usw

 

[Andi1000]

Das würde mich auch interessieren.
Hat mit Übersichtlichkeit nichts mehr zu tun...

 

[Kouya1600]

Ich finde das eine ganz miese Tour von Samsung. Das mit dem einfachen flashen, counter resetten hat meiner Meinung nach auch einen Teil zu dem Erfolg von Samsung verholfen.
Ich bin auch einer der Flashsüchtig ist. Da ich das Gefühl habe das alle neuen Geräte jetzt so eine (Sicherheit) haben wird das Note2 mein letztes Gerät sein.
Hatte für 2Monate ein S4 war sehr enttäuscht, Bootloops, hänger sowie neustarts ohne Grund.
Kann ich auch zu HTC gehen oder so.
Sorry bin immer mehr enttäuscht von Samsung, die haben mich in letzter Zeit so oft enttäuscht. Zu viele Varianten=längere Update dauer, ich habe mehrere High-End Geräte aus dem Vorjahr und alle gammeln sie noch bei 4.1.2 während andere Geräte schon 4.3(4.2.X) haben, und jetzt das mit den neuen Bootloader.
Ich habe eher eine geringe Hoffnung das die XDA Community da was wegen KNOX machen kann.

 

[mrx]

Der Grund, warum der Thread hier ist, steht oben und auch im Firmwarethread. Das ist die gleiche Vorgehensweise, wie sie auch beim Sudden Death gewählt wurde, und die sich bewährt hat. Hier in der Plauderecke kann deutlich zwangloser und themenoffener über alle Aspekte des Themas diskutiert werden, als im Geräteforum.

Wir haben aber hier gar keine Assoziation zu dem Thema bei den Foren oder zu Samsung. Gibt es nicht eine allgemeine Samsung Diskussion? Hier ist das Thema total allgemein. Ich suche eigentlich nur gezielt in den Unterforen bei einer Suche und hätte das Thema hier nicht gefunden, wenn es nicht ursprünglich an anderer Stelle gewesen wäre.

Was ist denn heute schon schlimm? Außer HDCP gibt es dafür immer noch kein Beispiel. Bei XDA Developers berichten sie auch seit Ende August über einen Fix für das HDCP Problem bei Custom ROMs und Root, der immerhin auf dem S3, dem S4, dem Note2 und dem Note8 funktionieren soll. Vielleicht sollte man sich das mal näher ansehen.

Ich habe alle Threads dazu bei XDA gelesen. Wenn man den Flash-Counter nicht resetten kann (bzw. nun die Flag) muss man relativ stark ins System eingreifen. Damit ist die Gefahr, dass das Gerät nicht mehr bootet viel größer.

Wenn du dein Auto mit falschem Sprit betankst, den Motor per Kennlinien-Modifikation tunst und Kratzer und Dellen rein machst, dann hat das auch Einfluss auf Garantie und Wiederverkauf. Merkwürdigerweise wundert es da niemanden, wenn die Autohersteller sich querstellen.

Der Vergleich hinkt aber doch. Auch hier ist dieses Beispiel so gewählt, dass "rooten" schon gleichgesetzt wird mit "falscher Sprit". Das ist doch überhaupt nicht so. Ein passenderer Vergleich wäre etwa eher, dass das Auto auf eine Geschwindigkeit x beschränkt ist und man diese Beschränkung aufhebt um schneller zu fahren. Wenn man schneller fährt, dann ist die Gefahr natürlich größer. Gut 100%ig passt der Vergleich auch nicht. Aber das "Freischalten" ist doch wirklich keine suspekte Aktion wie sie dargestellt wird. Und das wird sehr sehr stark hier so dargestellt. Ich muss mich nicht in Watte einwickeln lassen damit ich mich sicherer fühle.

Das Argument mit der Unsicherheit von Root ist doch Ähnlich bei der Diskussion jetzt über die Notwendigkeit der Überwachung für die Sicherheit. Wenn natürlich die Einstellung hat, dass Freiheit zweitrangig ist und Sicherheit in dem Sinne, dass man durch größtmögliche Beschränkung vornimmt, damit nichts passiert, dann kommt man auch zu dem Schluss das Root schlecht ist. Rooten bringt nur das Potential etwas falsches damit zu machen.

Nicht jeder. Und wenn du mit den Administratorrechten deine Windows Installation löscht, dann versuche mal, den PC vom Service auf Garantiekosten reparieren zu lassen. Bin gespannt, was die dir erzählen.

Aha! Genau mein Argument. Hier spielt doch nun genau mein Gedanke wie ich es mir Gedacht habe sich aus. Man hat bei Windows normalerweise immer die Möglichkeit alles zu machen, also Adminrechte. Der Rechner ist nicht kaputt. Man kann nun alles machen. Genau, ich kann einfach mal die Festplatte formartieren. Muss ich aber nicht. Ich kann auch ein anderes Betriebssystem drauf machen. Aber ich kann jederzeit wieder das alte System wiederherstellen. Da brennt keine efuse durch wenn man Linux installiert. Microsoft hat aber mit Secure Boot auch Bestrebungen gehabt Geräte fest an Windows zu binden.

Ich hab den Eindruck, dass die ganze Diskussion hier von ein paar schwarzen Schafen getrübt wird, die ihr Gerät mit irgend einem falschen Flashvorgang löschen und dann nicht mehr weiter wissen und hier rumheulen und meinen, dass sie Garantie haben wollen. Das sollte eigentlich nichts mit der Diskussion zu tun haben.

Nach Betrachtung dieser Argumente finde ich es immer noch gerechtfertigt auch eine Garantie für Root haben zu wollen, wie man sie auch normal bei einem PC hat, wo man Adminrechte hat. Aber wie gesagt, ich brauch nur die gesetzliche Gewährleistung für die Hardware. Aber wenn Samsung eine efuse durchbrennt, machen die IMHO mein Gerät unberechtigt kaputt.

Sorry, aber das ist hanebüchener Unfug. Falsches Rooten des S3 zerstört den Touchscreencontroller. Beim S2/Note Brickbug zerstören die Custom Recoverys den Flash Speicher irreparabel. Beim S1 konnte man durch Einspielen einer falschen Kamerafirmware die Kamera zerstören. EFS/IMEI Verlust ist hinlänglich bekannt auf allen Samsung Geräten seit Jahren. Übertakten oder auch Tools zur Lautstärkeerhöhung können die Hardware beschädigen.
Fazit: Durch rooten oder den falschen Einsatz von Flashtools ist es ein leichtes, die Geräte ernsthaft zu beschädigen.

OK. Ich sehe ein, dass ich das viel zu locker und allgemein formuliert habe. Ich finde aber "hanebüchener Unfug" etwas extrem als Erwiderung. Mit der IMEI hatte ich auch noch erst daran gedacht. Ich kenne mich nicht so aus, aber kann Samsung nicht auf jeden Fall eine neue IMEI immer setzen und das Gerät reparieren? Wenn man die IMEI sichert müsste man sie doch auch wiederherstellen können oder? Das ist jetzt etwas off-topic, aber ich lasse mich gerne belehren. Das Übertakten meinte ich auch als Beispiel sein Gerät zu überhitzen.

Das mit dem Touchscreencontroller wusste ich nicht, das ist dann in der Tat gefährlich; dürfte ich aus Interesse nach einem Link fragen, sonst suche ich selber, aber wenn sich jemand mit dem Thema auskennt, dann kennt er vielleicht auch eine gute Quelle dazu.

Wie dem auch sei, das sind alles nicht typische Aktionen, wie man sie mit dem Rooten ausführt. Und der Punkt ist der, dass man erst so etwas wie wir hier jetzt diskutiert haben machen muss um sein Gerät kaputt zu machen. Das Rooten macht das nicht. Genau wie bei einem PC, bei dem ich erst die Festplatte formatieren muss, damit der Rechner nicht mehr bootet. Ich meine, dass lässt sich doch nicht bestreiten und entkräften?

Normalerweise nutzt man die Rootrechte tägliche für adminartige Zugriffe wie bei z.B. Titanium Backup. Wenn man Custom-Roms und Recoveries verwendet flasht man auch herum, das ist im Prinzip noh etwas anders als mit einem fertigen Paket zu rooten bzw. mit root etwas zu machen.

Eine Idee wäre vielleicht, wenn Hersteller einen aktivierbaren Rootmodus in ihere Geräte einbauen würden. Dann würde man weniger Gefahren haben durch den Root-Prozess ein Problem zu bekommen. Aber ich glaube auch nicht, dass das so schnell kommen wird.

Nicht jeder hat das gleiche Anliegen. Ich finde, es sollte erlaubt sein, auch mal die andere Seite der Thematik zu beleuchten.

Ich verstehe diese Aussage nicht ganz; welche Thematik? Oder war damit gemeint, dass ich die Risiken zu sehr bei einem gerooteten Gerät unterbewertet hat? Das stimmt. Und ich finde natürlich das man bei allem am besten immer auch alle Seiten einer Thematik diskutiert. Ich bitte sogar darum. Ich stimmt nur sehr sehr stark nicht mit der Aussage überein, dass Rooten eine Beschädigung des Gerätes ist wenn man NICHTS kaputt macht und alles wieder wie bisher sauber wieder herstellen würde. So wie bei einem PC halt, wenn ich Linux installiere und später wieder mein altes System zurück spiegele.

Vielleicht geht es aber auch um den Sinn von Knox. Ich persönlich finde SE Linux eine positive Entwicklung und die Sicherheitsfeatures von Knox wie die Trennung von privaten und beruflichen Daten eine durchaus interessante Idee. Ich glaube das kritisiert auch hier niemand. Aber die meisten Leute brauchen das nicht. Aber die hier besprochenen Probleme werden unter dem gleichen Begriff zusammengefasst und diskutiert, weil Samsung sie in dem Zusammenhang mit den neuen Bootloader eingeführt hat.

Ich frage hier im Forum dennoch: Wenn wir die Knox Sicherheitsfeatures auf Betriebssystem-Ebene nicht nutzen, was bringt uns als Verbraucher die efuse? Die efuse ist nur Endverbraucherverfeindlich. Sie hat auch keinen Wert, wenn sie offenbar Berichten nach auch fälschlich gesetzt wird. So bald es auch nur einen Fall gibt, kann man sich darauf berufen und behaupten, dass man kein Verschulden hat, dass die Flag gesetzt wurde, auch wenn man sein Gerät total tot geflasht und misshandelt hat. Somit ist die Flag für Samsung wertlos.

Wenn sich die Komponenten zweistufig gegenseitig überwachen, wie im Whitepaper beschrieben, dann ist es ein Leichtes, das System nicht mehr starten zu lassen, wenn ein falscher Bootloader installiert ist. Ich weiß aber nicht, ob Samsung das macht, und ob sie es überhaupt wollen.

Richtig, ich weiß aber nicht, wenn man noch den alten Bootloader hat, ob es möglich ist wie vorgeschlagen ein modifiziertes Paket zu erstellen, dass das das neuere System einer neueren Firmware beinhaltet.

Wir wissen nicht, was Samsung in Zukunft will. Dafür kann man hier diskutieren.

Ich glaube nicht, dass das das Ziel ist. Das hätten sie zum einen einfacher haben können, und zum anderen steht ja genau das Gegenteil in dem einen Whitepaper, die oben verlinkt sind: Bleibe offen und erhalte die Flexibilität, aber biete trotzdem die nötige Sicherheit für die gewerblichen Einsatz. Das ist das Ziel von Knox. Um eine grundsätzliche Unterbindung von Root oder Modifikationen geht es nicht. Wenn das das Ziel gewesen wäre, dann ist Knox dilettantisch programmiert. Denn rooten und Modden kann ich nach wie vor, ohne eine Sicherheitslücke oder einen Exploit ausnutzen zu müssen, einfach durch die etablierten Mechanismen, die Samsung selber beim Flashen benutzt.
Es geht um die Einschränkung des unerwünschten und unabsichtlichen Einsatz von Root für Schadsoftware.

Zugegeben: Da läuft noch nicht alles rund. Teilweise werden Apps in der Funktion beschnitten, die eigentlich harmlos sind. TitaniumBackup ist ein Beispiel. Man muss aber auch festhalten: Mit seiner Art, die Daten von anderen Apps auszulesen (um sie zu sichern), benimmt Titanium sich genau wie ein Spion, der die Daten ausschnüffeln möchte. Das ist schwierig zu unterscheiden. Aber ich denke, dafür wird sich früher oder später eine Lösung finden. Da sehe ich den Ball aber offengestanden eher bei Titanium.

Hier steht viel, dem ich zustimme. Wie ich Chainfire verstanden habe, hat er für root Knox etwas umgangen. Er bezeichnet es jedenfalls als "false-sense-of-security-inducing hypeware". Ich kenne mich da nicht so gut aus, aber Chainfire ist doch durchaus eine Autorität auf dem Gebiet. Ich fände gut, wenn Knox tatsächlich echte gewerbliche Sicherheit bringt. Aber wie ich es verstanden habe, ist Knox nicht gut umgesetzt und bringt dann nichts. Und zumindest die efuse bringt auch gar nichts.

Ich könnte mir viele bessere Vorgehen vorstellen. Samsung müsste bei dem Secure Boot etwas wie fastboot oem unlock anbieten, was das Gerät wiped und danach müsste man als User eigene Zertifikate wie bei UEFI installieren können. Dann könnte man selber eigene Systeme sichern. Damit wäre dann vielleicht ein Cyanogenmod mit Features möglich, wie Knox erreichen möchte.

Ja, ein typisches Beispiel für dilettantischen Boulevard Journalismus. Mache dir mal die Mühe und lies die Original Snowden Aussagen dazu, wie sie u.a. in der c't Analyse einige Tage nach diesen Schlagzeilen zitiert wurden.
NSA und GCHQ: Großangriff auf Verschlüsselung im Internet | heise Security

Eigentlich fand ich diese Diskussion hier Off-Topic, aber jetzt kann ich auch was dazu sagen. Ich glaube generell hat aber ollborg recht, dass SSL nicht sicher ist. Wenn die NSA sich von den Unternehmen die Schlüssel geholt hat, können sie nachträglich den mitgezeichneten Verkehr entschlüsseln. Ich glaube darum ging es. Mit Perfect Forward Security wäre das nicht möglich.

 

[NPL83]

Wofür braucht ihr eine Lösung? Und was genau funktioniert nicht mehr...Wofür genau braucht ihr also die "Lösung"?

Ich bin kein flasher oder so. Ich möchte das es von mir gekaufte tivizen mini DVB-T wieder ohne knacken roten etc. Funktioniert !!!
Wie es bereits erwähnt wurde darf samsung mein von mir für 580 Euro gekauftes plastik Dreck so verändern, so dass es nicht mehr für mich als richtig funktionierendes gerät gilt?

 

[vetzki]

....
Sorry, aber das ist hanebüchener Unfug. Falsches Rooten des S3 zerstört den Touchscreencontroller. Beim S2/Note Brickbug zerstören die Custom Recoverys den Flash Speicher irreparabel. Beim S1 konnte man durch Einspielen einer falschen Kamerafirmware die Kamera zerstören. EFS/IMEI Verlust ist hinlänglich bekannt auf allen Samsung Geräten seit Jahren. Übertakten oder auch Tools zur Lautstärkeerhöhung können die Hardware beschädigen.
Fazit: Durch rooten oder den falschen Einsatz von Flashtools ist es ein leichtes, die Geräte ernsthaft zu beschädigen.

...

Probleme mit "falschem Rooten" (was soll das sein bze. wie geht das ? ). brickbug & efs gedöhns kenne ich eigentlich nur von Samsung Geräten.
Wie zuvor schon gesagt, kann bei einem normalen Gerät durch rooten eigentlich gar nichts passieren (beim xiaomi mi2 gehts meines wissen über einen Punkt in den Systemeinstellungen). Das einzige was ich mir ggf. vorstellen könnte wäre den Bootloader zu überschreiben (is aber nicht ganz einfach, von daher wird das jemanden ohne plan kaum passieren und mit halbwegs plan machste das nicht). OC muss der kernel unterstützen und beim mitgelieferten wirds i.d.r. nicht gehen...

 

[SavanTorian]

[...]

Warum ich Knox ablehne muss ich nun anscheinend doch nochmal wiederholen.

[...]

Ich finde es allerdings auch falsch sich Leistungen zu erschleichen. Eben dieses Verhalten fürt zu so solchen Entwicklungen wie Knox und dem Warranty Counter. Darüber sollte jeder mal nachdenken, der dies als einzigen Grund zählt.

Das ganze Desaster droht wohl allen Samsung Phones der Galaxy Klasse, die auf 4.3 und höher geupdatet werden.

Ich werde bei meinem S3 vorerst auf 4.1.2 bleiben.

1. Völlig ausreichend (ich weiss gar nicht, warum man immer neuen Kram braucht, den man sich auch per App holen kann, wie Zb die 360° Panaorama Cam)
2. Ich benötige mein S3 für mich selber. MusltiUser halte ich für Quatsch, darum habe ich schon keinen 4.2.2 leak geflasht.
3. Die Freiheit zur Verwendung von Customs bleibt erhalten!
4. NO NSA TOOL ON MY PHONE!

 

[frank_m]

Das mit dem falschen Rooten und dem TouchScreencontroller kann man hier nachlesen:
https://www.android-hilfe.de/forum/...ootet-display-reagiert-nicht-mehr.329864.html
Das gleiche passiert auf dem S3 LTE.

Und durch Overclocking oder Sound Booster kann die HW auf jedem Gerät beschädigt werden.

Nun frank_m du bist gefragt.
Du hast dich uns doch quasi als Spezialist aufgedrungen mit deinen Post bzgl Knox.
Wo sind also deine Lösungsansätze?

Ein Knox Experte bin ich noch nicht. Mit den technischen Hintergründen und Funktionsweisen hab ich mich offengestanden erst beschäftigt, als dieser Thread mich dazu veranlasst hat. Das war so ein Thema aus der Kategorie "Musst du dir mal anschauen, wenn du Zeit hast". Wie üblich ist es liegen geblieben, bis es einen konkreten Schubser gab.

Bislang ist mein Lösungsansatz für Knox der gleiche, den ich immer schon angewendet habe: ich versuche, mich so gut wie möglich damit zu arrangieren, Änderungen zu adaptieren, ggf. meine Verhaltens- oder Herangehensweise anzupassen und so unterm Strich mindestens die gleiche oder sogar eine bessere Anwendbarkeit zu erzeugen, als vorher. In der Situation bin ich nicht zum ersten Mal, denn nahezu jedes größere Android Update und auf jeden Fall jeder Gerätewechsel hatte vergleichbare Konsequenzen. Ich denke diesbezüglich einfach lösungsorientiert: Warum soll ich mich tageleang über etwas aufregen, seitenweise Beiträge in Forum verfassen, Hotlines anrufen oder gar Geräte zurückschicken, wenn ich in wenigen Stunden zufriedenstellende Lösungen erarbeiten kann, die nicht selten sogar die Konsequenz hatten, dass es anschließend besser war, als vorher? Vorher fehlte häufig nur der Anlass, sich entsprechend intensiv damit zu befassen, um eine wirklich ordentliche und komfortable Lösung zu haben.

In Bezug auf Knox war die Umstellung sogar recht einfach. Root hab ich wieder, nur meine Herangehensweise für Backups musste ich umstellen, da Titanium nicht mehr wie früher funktioniert. Aber ADB ersetzt das eigentlich problemlos. Einschränkungen bei Apps kann ich bislang nicht feststellen, allerdings nutze ich Tivizen auch nicht auf meinem Smartphone, sondern nur auf dem Tablet. Das kann ich aber mal testen. Allsharecast mit HDCP nutze ich auch nicht, aber wenn man sein Gerät schon modifiziert, dann sollte es auch kein Problem sein, den Fix von xda zu benutzen. Mehr Einschränkungen sind mir bislang nicht bekannt.

 

[vetzki]

Das mit dem falschen Rooten und dem TouchScreencontroller kann man hier nachlesen:
https://www.android-hilfe.de/forum/...ootet-display-reagiert-nicht-mehr.329864.html
Das gleiche passiert auf dem S3 LTE.

Und durch Overclocking oder Sound Booster kann die HW auf jedem Gerät beschädigt werden.


....

Hab jetzt nur die 1. Posts überflogen, aber warum rootet man mit ner Rom? Und warum prüft das update-zip der rom nicht ro.product.device ? . Sowas am besten gar nicht flashen imo. Oc braucht i.d.R. einen anderen kernel und hat mit root nix zu tun (ich kann auch ohne root overclocken). Soundboost kenn ich nicht (aber wenns die Lautstärke vom z.b. lautsprecher erhöht sollte jedem das risiko klar sein)

 

[mrx]

Das mit dem falschen Rooten und dem TouchScreencontroller kann man hier nachlesen:
https://www.android-hilfe.de/forum/...ootet-display-reagiert-nicht-mehr.329864.html
Das gleiche passiert auf dem S3 LTE.

Und durch Overclocking oder Sound Booster kann die HW auf jedem Gerät beschädigt werden.

Vielen Dank. Sehr interessant mit dem Touchscreen. Allerdings muss man auch sehen, dass hier das Rom von einem Note auf ein S3 geflasht wurde. Das ist schon ziemlich krass. Bei der ganzen Diskussion sollte man vielleicht auch rooten mit Custom Roms unterscheiden. Davon ab, Vetzki sagt dass er Probleme dieser Art wie mit dem EFS hauptsächlich von Samsung-Geräten kennt. Das ist mit dem Touchscreen Controller auch so eine Sache. Ich erinnere mich, dass Samsungs Notebooks auch einen tollen EFI Bug hatten, dass die Notebooks zerlegt hatte; dabei wird ein Feature genutzt, dass dem Standard entspricht: Samsung-UEFI-Bug: Notebook via Windows geschrottet | heise open

So gesehen könnte man auch argumentieren, dass der Hardwaredefekt Samsungs Schuld ist. Auch wenn es wirklich bekloppt ist die Firmware von einem Note da drauf zu spielen.

Ein Knox Experte bin ich noch nicht. Mit den technischen Hintergründen und Funktionsweisen hab ich mich offengestanden erst beschäftigt, als dieser Thread mich dazu veranlasst hat. Das war so ein Thema aus der Kategorie "Musst du dir mal anschauen, wenn du Zeit hast". Wie üblich ist es liegen geblieben, bis es einen konkreten Schubser gab.

Ich kenne mich auch noch nicht gut damit aus, weil ich mich nur mit den neuen negativen Effekten beschäftigt habe. Eine Frage: Worin liegt denn nun der Sicherheitsgewinn wenn sich das Gerät weiter rooten lässt?

Bislang ist mein Lösungsansatz für Knox der gleiche, den ich immer schon angewendet habe: ich versuche, mich so gut wie möglich damit zu arrangieren, Änderungen zu adaptieren, ggf. meine Verhaltens- oder Herangehensweise anzupassen und so unterm Strich mindestens die gleiche oder sogar eine bessere Anwendbarkeit zu erzeugen, als vorher. In der Situation bin ich nicht zum ersten Mal, denn nahezu jedes größere Android Update und auf jeden Fall jeder Gerätewechsel hatte vergleichbare Konsequenzen. Ich denke diesbezüglich einfach lösungsorientiert: Warum soll ich mich tageleang über etwas aufregen, seitenweise Beiträge in Forum verfassen, Hotlines anrufen oder gar Geräte zurückschicken, wenn ich in wenigen Stunden zufriedenstellende Lösungen erarbeiten kann, die nicht selten sogar die Konsequenz hatten, dass es anschließend besser war, als vorher? Vorher fehlte häufig nur der Anlass, sich entsprechend intensiv damit zu befassen, um eine wirklich ordentliche und komfortable Lösung zu haben.

Die Vorgehensweise klingt gut, aber bisher sind mir keine Lösungen. Insbesondere verändert ja die efuse das Gerät für immer; ein Rückkehr wie früher zu Stock ist nicht möglich. Zu anderen Themen, siehe unten bei weiteren Themen.

In Bezug auf Knox war die Umstellung sogar recht einfach. Root hab ich wieder, nur meine Herangehensweise für Backups musste ich umstellen, da Titanium nicht mehr wie früher funktioniert. Aber ADB ersetzt das eigentlich problemlos. Einschränkungen bei Apps kann ich bislang nicht feststellen, allerdings nutze ich Tivizen auch nicht auf meinem Smartphone, sondern nur auf dem Tablet. Das kann ich aber mal testen.

Eine Anmerkung zu ADB Backup: Irgendwie klappt das bei mir manchmal nicht. Ich weiß nicht warum und bei welchen Apps. Offenbar bin ich nicht der einzige, habe schon öfter mal gelesen, dass Leute gelegentlich Probleme damit haben. Die App Helium (früher Carbon) nutzt auch dieses System für Sicherungen. Eigentlich ist ADB Backup toll wenn es funktioniert. Aber es klappt immer nicht bei Apps aus heiterem Himmel, bei denen ich es manchmal brauche. Ich hatte mein S4 im ersten Monat nicht gerootet, weil ich gewaretet hatte bis Chainfire von der Google IO zurück war und er seine offizielle Lösung veröffentlicht.

Ich bin wahnsinnig geworden ohne Root, nur Titanium Backup läuft bei mir immer 100%ig. Also ich hatte Stock Firmware, aber ADB Backup klappte leider nicht gut. Bei meinem Nexus 7 das gleiche, so bei 90% der Apps ging es. Gut, man muss dazu sagen, dass ich sehr viele Apps installiert habe und benutze. Klappt denn ADB Backup korrekt mit Knox? Sollte ja im Prinzip. Aber wie gesagt, die Lösung ist nicht besser oder auch genauso gut wie Titanium Backup. Es ist ja klar, dass bei der neuen App Isolierung das alte System von Titanium Backup nicht mehr geht, wenn es direkt wie bisher versucht vorzugehen.

Allsharecast mit HDCP nutze ich auch nicht, aber wenn man sein Gerät schon modifiziert, dann sollte es auch kein Problem sein, den Fix von xda zu benutzen. Mehr Einschränkungen sind mir bislang nicht bekannt.

Gibt es bereits einen Fix der mit dem aktuellen Knox Firmwares läuft? Ich bin da gerade nicht auf dem Laufenden. Weitere Einschränkungen zur Zeit sind beispielsweise, dass man nicht mehr downgraden kann. Und ich glaube dass man nie mehr zu Stock wie früher zurück kommt und keine OTAs mehr machen kann, wenn man es wollen würde.


Ich hatte noch zu anderen Themen wesentlich mehr geschrieben und würde mich da auch noch auf Antworten freuen. Da ich sehr viel geschrieben habe, verstehe ich, dass eine Antwort auf alle Punkte so schnell wie es diese Antwort gab nicht zu erwarten ist. Speziell schienen auch noch andere Leute außer mir der Ansicht zu folgen, dass Rooten keine Beschädigung des Gerätes darstellt.

 

[ollborg]

Nachdem ich die Whitepapers immer wieder gelesen habe. Komme ich momentan zu folgendem Schluss:

Samsung muss öffentlich dazu Stellung nehmen, was die Anwendung von Knox für den privaten Anwender bedeutet. Anders kommt man hier nicht weiter.

Z.B. Dieser Satz zu SE Android

Out of the box, Samsung KNOX is provisioned with a set of security policy configuration files designed to strengthen the core Android platform and meet general enterprise needs. Samsung KNOX offers management APIs that allow the default SE for Android policy files to be replaced with stricter or enterprise-specific policy files. These new policy files can be pushed to the device.

Dass das S4 versucht seine Richtlinien Updates zu holen, wird hier niemand bestreiten.

Wer ist bei privaten Usern zuständig dafür? Betreibt Samsung eine eigene Infrastruktur dazu? Wer bestimmt dann was auf dem Handy ausgeführt werden darf. Ist Google mit im Boot? Werden dann nur noch Knox zertifizierte Apps zugelassen?
Oder ist diese Funktion inaktiv?

Wurde die Knox Infrastruktur an Behörden gegeben? Wenn ja, können diese mit einem einzigen Richtlinien Update Dinge auf unserem Handy tun, die wir uns noch gar nicht vorstellen wollen. Der Zugriff wäre noch einfacher als vor der Knox Einführung.

Da Samsung Knox laut Whitepaper eng mit der NSA zusammen entwickelt hat, erzeugt dies erheblichen Klärungsbedarf. Hier der Auszug aus dem Whitepaper:

Security-Enhanced Linux (SE Linux) is a technology invented by the NSA in 2000 and has long been established as the standard for securing enterprise Linux assets. Samsung R&D teams have worked very closely with the NSA to port and integrate this technology into Android. This port of SE Linux to Android is commonly referred to as Security Enhancements for Android, or “SE for Android”.

Was passiert wenn Kriminelle sich der Knox Infrastruktur bedienen und eigene Richtlinienserver betreiben um über die Knox API und Policy Updates Vollzugriff auf beliebige Samsung Geräte zu bekommen? Wie ist die Knox Infrastruktur dagegen geschützt?

Auch der Einsatz von eFuse muss hier erwähnt werden. Die Bedingungen eines Knox Android Gerätes können sich jederzeit durch diese Technology ändern. Es wird sich immer so verhalten wie die Chips grade neu programmiert werden (Knox API). Dies betrifft alle Themen rund um Secure Boot und die Hardwareunterstützte Überwachung des Kernels.

Zu klären ist auch der Begriff Warranty Void. Ist nun die Garantie weg oder kann nicht mehr garantiert werden von Knox, dass betroffene S4 "sicher" sind und ihre Enterprise Fähigkeit somit verloren haben.

Für mich persönlich hört sich das nicht nur bedrohlich an, es ist bedrohlich und wird Konsequenzen haben.

Samsung muss sich öffentlich dazu äußern, dringend.

Diesen ganzen Wind könnte Samsung vermeiden, wenn Knox optional wäre.

Die Einführung von Knox ist unprofessionell durchgeführt worden. Informationen werden nur für das Enterprise Umfeld, also Firmen und Überwachungsorgane bereitgestellt. Eine Erklärung für alle privat Nutzer ist bisher anscheinend nicht vorgesehen. Die Einführung beschränkt sich bis dato ausschließlich auf das Verteilen von Roms und somit unerklärten, vollendeten Tatsachen.

Einen Vertrauensvorschuss darf Samsung dann auch nicht erwarten.

Nach meiner Meinung ist dies ein Fall für den Bundesdatenschutzbeauftragten. Dort gibt es hoffentlich kompetente Leute, die auch alle nötigen Informationen bekommen um Knox zu bewerten und tieferes Verständnis der Materie haben als ich.

Ich persönlich würde mir wünschen, dass der Heise Verlag rund um die CT sich mit Knox ausführlich beschäftigt.

Update:

Samsung stellt seine Knox Infrastruktur (sie ist also verhanden) momentan auf den Betrieb von nicht Enterprise Kunden um. Dies äußert sich wohl machmal mit dem Richtlinien Update Fehler. Also wird Samsung die Regeln in Zukunft bestimmen. Sie bestimmen dann welche Apps ihr nutzen könnt. Dazu werden wohl zusätzlich auch Knox Apps verteilt. Wenn der Artikel korrekt ist.

Die Quelle ist Sammobile:

http://www.sammobile.com/2013/09/23...t-seems-to-prep-the-device-for-use-with-knox/