Samsung dementiert erneut Leck in seiner Sicherheitslösung Knox

Angeblich speichert Knox eine PIN im Klartext. Mit ihrer Hilfe lässt sich ein Passworthinweis abrufen. Dem Forscher zufolge ist das ein Beweis dafür, dass Samsung das Knox-Kennwort auf dem Gerät speichert. Das kompromittiert ihm zufolge die gesamte Sicherheit von Knox.

Samsung hat den Bericht eines nicht näher genannten Sicherheitsforschers zurückgewiesen, der in Samsungs Sicherheitslösung Knox eine kritische Anfälligkeit entdeckt haben will. Ihm zufolge soll Knox eine bei der Einrichtung der App festgelegte PIN im Klartext speichern. Den Vorwurf erhob er nur wenige Tage, nachdem Knox die wichtige US-Zertifizierung im Programm Commercial Solutions for Classified (CSfC) der National Information Assurance Partnership (NIAP) erhalten hatte.

Samsung KnoxNach Angaben des Forschers speichert Knox die PIN unverschlüsselt in einer Datei namens pin.xml. Sie könne daraus ausgelesen und benutzt werden, um einen Passworthinweis abzufragen. Der Hinweis wiederum bestehe aus dem ersten und letzten Buchstaben des Kennworts. Darüber hinaus erhalte ein Hacker mit Zugriff auf ein Smartphone oder Tablet auch die genaue Länge des Passworts.

Diese Lücke sei aber nur der Anfang eines viel größeren Sicherheitsproblems, so der Forscher weiter. „Jetzt ist klar, dass Samsung Knox Ihr Passwort irgendwo auf dem Gerät speichert.“ Er behauptet zudem, er habe in einem Ordner auch den Verschlüsselungsschlüssel gefunden.

Demnach verbirgt Samsung Knox das Verfahren zur Generierung des Schlüssels in einer Vielzahl von Java-Klassen und -Proxies. Zudem soll Samsung für den Schlüssel auch die eindeutige Android-Geräte-ID benutzen. „Samsung hat wirklich versucht, die Funktion für die Generierung des Schlüssels zu verstecken. Schließlich verwendet es lediglich die Android ID zusammen mit einem hardwarebasierten String und mischt beides für den Verschlüsselungsschlüssel. Ich hätte von einem Produkt mit dem Namen Knox ein anderes Vorgehen erwartet.“

HIGHLIGHT

Enterprise Mobility: iOS 8 vergrößert den Abstand zur Konkurrenz

Die Verwaltbarkeit von Mobilgeräten mit Android, Blackberry, iOS und Windows Phone wird für IT-Manager immer wichtiger. Carsten Mickeleit, Gründer und CEO von EMM-Spezialist Cortado skizziert die neuen Funktionen von iOS 8 und zeigt, wo die Unterschiede zum Mitbewerb liegen.

Nach Ansicht des Forschers kompromittiert die Speicherung des Passworts auf dem Gerät die gesamte Sicherheit von Knox. „Bei einem solchen Produkt sollte das Passwort niemals auf dem Gerät abgelegt werden“, ergänzte der Forscher. „Es gibt keinen Grund dafür, außer man verliert sein Passwort. Aber dann sollten die Daten verloren sein.“ Eine Wiederherstellungsoption bedeute, dass die Daten nicht sicher seien.

„Wir haben die Vorwürfe detailliert untersucht und festgestellt, dass die Schlussfolgerung falsch ist. Wir möchten unseren Kunden erneut versichern, dass das Knox-Passwort und das Schlüssel-Management nach den besten Sicherheitsmethoden implementiert wurden. Die Sicherheitszertifizierungen, die Knox-Geräte erhalten haben, sind eine unabhängige Bestätigung für Samsung Knox.“

In einem Nachtrag zu seinem Blogeintrag weist der Forscher darauf hin, dass er die Version 2.0.2 der auf seinem Samsung Galaxy S4 vorinstallierten App Knox Personal analysiert hat und nicht die gleichnamige Enterprise-Mobility-Lösung Knox EMM. „Ich würde wirklich gerne auch das sogenannte MyKnox untersuchen und prüfen, ob die in Ihrer Pressemitteilung genannten Sicherheitsmaßnahmen wahr sind. Bitte lassen Sie mich wissen, welches Gerät ich kaufen muss, um die sichere Version zu erhalten.“

Samsung Knox erlaubt es, separate Partitionen auf einem Android-Gerät anzulegen, um beispielsweise geschäftliche von privaten Daten zu trennen. Diese auch als Container bezeichneten Partitionen haben ein eigenes verschlüsseltes Dateisystem, das Apps innerhalb des Containers von Anwendungen außerhalb abgrenzt. Einige der Funktionen von Knox hat Google auch in die neue Android-Version 5.0 Lollipop integriert.

Schon im Januar hatte das koreanische Unternehmen eine Datenlücke in Knox bestritten. Ein israelischer Forscher hatte zu dem Zeitpunkt behauptet, Malware könne trotz Verschlüsselung E-Mails mitlesen und Datenkommunikation aufzeichnen.

[mit Material von Duncan Macrae, TechWeekEurope]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, Samsung, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

20 Kommentare zu Samsung dementiert erneut Leck in seiner Sicherheitslösung Knox

Kommentar hinzufügen
  • Am 28. Oktober 2014 um 18:34 von Anders gesagt

    @punisher: damit Du die Stelle findest … ;-)

    „Die Sicherheitszertifizierungen, die Knox-Geräte erhalten haben, sind eine unabhängige Bestätigung für Samsung Knox.“

    Darum geht es aber nicht: so wenig, wie der TÜV für die zertifizierte SW zu 100% gerade steht, so wenig tun das ganz sicher auch die von Samsung erwähnten Unternehmen.

    Nur einer (!) hat die Verantwortung für sein System, und das ist Samsung. Und die drücken sich eben vor einer konkreten Aussage, und verweisen auf ‚Sicherheitszertifizierungen‘.

    q.e.d. – typische Nebelkerzen. Man beantwortet eine Frage, die nicht gestellt wurde (Zertifizierungen), und sagt zum eigentlichen Vorwurf nur „Blabla“ – nichts.

    Und das ist typisch Samsung – das Spiel machen die ständig. Schweigen, wo konkrete Aussagen erforderlich wären.

    • Am 28. Oktober 2014 um 21:39 von punisher

      Warum zum Geier sollte jemand Stellung nehmen zu einer reinen Behauptung, die jemand (hier sogar ‚anonym‘)gemacht hat?

      • Am 1. November 2014 um 0:32 von Fort Knox?

        Zum Beispiel, weil es nun auch von einem bekannten Engineer noch schärfere Vorwürfe gibt:

        http://www.heise.de/newsticker/meldung/Schwachstellen-in-Samsung-Knox-2440119.html

        Die Vorwürfe sind nicht nur sehr gut dokumentiert und begründet – der Eindruck, der sich automatisch einstellt ist der, dass Samsung einfach herumpfuscht.

        @Martin Sch…: wieviel war die ‚Zertifizierung‘ nun Wert? Nix. Die Software hat eklatante Schwächen – trotz Zertifikat.

        q.e.d. Samsung hat Mist produziert, und anstatt den Vorgang kritisch zu betrachten, versteifen sich einige hier auf Grabenkämpfe und ignorieren klare Fakten.

        Also: die Samsung Fan Spezis wurden zum x-ten Mal widerlegt, und werden nun ihre Nebelkerzen werfen – andere programmieren auch Mist, Samsung wird bestimmt irgendwann fixen, Samsung ist dennoch ’sicher‘, JI, C und punisher wissen schlicht mehr und alles besser, und weil ich namenlos bin, muss man eh grundsätzlich alles anzweifeln.

        Also: welche Ausrede wird euch nun einfallen, um Samsungs ‚Knox‘ zu verteidigen? De fskto ist es einfach untauglich und absolut unsicher.

        Es war mir eine Freude euch erneut widerlegt zu haben. ;-)

  • Am 28. Oktober 2014 um 18:06 von punisher

    Das ist normal bei manchen hier. Die wollen immer das Unternehmen eine besonders ausführliche Stellungnahme zu Behauptungen abgeben, außer es ist apple.

    • Am 28. Oktober 2014 um 18:24 von

      Sie wollen, dass es überhaupt mal eine Stellungnahme gibt – und am Besten gleich auch das Bug Fix – erstes kriegt man nur spärlich (Samsung: wir sind nie schuldig), und auf das letztere wartet man bis zum St. Nimmerleinstag. Da wird dann von Samsung geschwiegen, ausgesessen, und man spekuliert darauf, dass das Interesse nach einigen Monaten erlischt.

      Ja, und dann kommt die nächste Schote, und die Frage steht im Raum: haben die seit Dez 2013 irgend etwas gefixed? ;-)

      http://www.zdnet.de/88209378/luecke-samsungs-find-mobile-dienst-erlaubt-angreifern-geraetezugriff/

      „Wie schon bei einem anderen Fall im Januar bestritt Samsung, dass Knox die genannte Schwachstelle aufweist.“

      Ist nix passiert? Sure, it’s Samsung? ;-)

      • Am 31. Oktober 2014 um 3:37 von Judas Ischias

        Warum bist Du eigentlich so scharf darauf, dass Samsung eine Stellungnahme abgibt?
        Hast Du neuerdings ein Samsung? ;)
        Denn bei Apple, die ja bekannt sind für Schweigen, habe ich solchen Einsatz noch nie von dir gesehen. ;)

  • Am 27. Oktober 2014 um 12:00 von Martin Schaflechner

    Ich zweifel auch stark an den Aussagen einer Person, die sich als Forscher nicht näher identifizieren will.

    Die Zertifizierung einer Sicherheitslösung durch nationale/ internationale Behörden ist da meines Erachtens deutlich mehr wert als unbewiesene Äußerungen einer Person, die sich nicht mal mehr zu erkennen geben möchte.
    Zudem muss man derartige Forschungshypothesen immer mit einer gesunden Portion Skepsis betrachten – häufig werden Sicherheits“lücken“ in sehr konstruierten Use-Cases aufgezeigt.

    • Am 27. Oktober 2014 um 13:01 von Stimmt

      Der Zertifizierung der nationalen Behörde NSA vertraue ich aus Prinzip voll und ganz – wenn die was empfehlen, trete ich das sofort in die Tonne. Und so handhabe ich es auch mit anderen ’nationalen‘ Behörden, die mir Mist erzählen wollen.

      Wenn der Forscher nicht recht hat, kann doch Samsung eindeutig dementieren: ‚auf dem Gerät wird das Password nicht vorgehalten.‘ So schwer ist dieser Satz doch nicht, oder?

      Dass sie so herumeiern, sagt eine Menge.

      • Am 27. Oktober 2014 um 16:44 von Karl Hintern

        Da stimme ich Dir zu, aber dieser Artikel ist einfach schlecht recherchiert. Das Samsung nicht immer tolle Sicherheit bietet ist auch klar, aber das ist bei anderen auch nicht anders.

        Erst wenn etwas ganz knallhart auf dem Tisch liegt bewegen die sich da was und nur durch dadurch wird das ganze auch überprüfbar !

        Apple sagte auch unsere Cloud ist sicher… und die wussten genau, was da für Lücken existierten, erst als es geknallt hat gab es da Veränderungen.

      • Am 27. Oktober 2014 um 19:04 von Martin Schaflechner

        „Und so handhabe ich es auch mit anderen ‘nationalen’ Behörden, die mir Mist erzählen wollen.“

        Die Dokumentation für Zertifizierungsprozess des CSfC-Programms kann in öffentlichen Quellen nachgeschlagen werden, entgegen ihrer scheinbaren Ansicht ist die o.g. nationale Behörde sehr transparent.

        Siehe z.B.: https://www.nsa.gov/ia/_files/csfc_customer_handbook_ver1.11.pdf

        Im übrigen ist es kein Wunder, dass bei den einschlägigen Kritiken auf den Zertifizierungsprozess verwiesen wird – denn in dessen Dokumentation werden auch alle weiteren Fragen und Unwissenheiten geklärt. Wirklich seriöse Kritik kann somit konstruktiv geklärt werden. Und ganz nebenbei verhindert das auch, dass sich zusätzlich ahnungslose Trolle mit irgendwelchen Hirngespinsten zu Wort melden.

        • Am 27. Oktober 2014 um 20:11 von Na sicher

          Die NSA hat nichts Besseres zu tun, als potentiellen Gegnern zu erklären, wie sie ihr System absichern. Willkommen in der Scheinwelt. Die Mafia ist sicher auch an der Gesundheit der Menschen interessiert, sonst kann sie ihnen keine Drogen verkaufen. Alles klar. ;-)

          • Am 28. Oktober 2014 um 8:16 von punisher

            Was hat ein Zertifizierungsvorgang mit System absichern zu tun?

          • Am 28. Oktober 2014 um 10:32 von Nebel überall

            Die Frage solltest Du Samsung stellen: auf eine einfache Aussage, ihr System sei bezüglich Abspeichern von Passworten auf dem System unsicher, antwortet Samsung ja mit „ist doch zertifiziert – und damit sicher“?

            Ich sage: Nebelkerze. Sie könnten ja sagen, dass das falsch ist. Tun sie nicht.

            Was würde man z.B. von VW halten, würden sie mit dem fiktiven Vorwurf konfrontiert?
            Vorwurf: „der neue VW Golf ist unsicher, da die Bremsen im Auslieferungszustand defekt sind.“
            Wahrscheinliche Reaktion von VW: „der VW Golf hat funktionierende Bremsen, der Vorwurf ist nicht wahr.“
            Was würde man denken, würde VW antworten: „Der VW Golf wurde vom TÜV Rheinland als Auto zertifiziert, und technisch abgenommen“?

            Richtig: Nebelkerze. q.e.d. ;-)

          • Am 28. Oktober 2014 um 11:21 von Martin Schaflechner

            Bei aller Kritikfähigkeit, aber selten so eine dünne Argumentation gelesen.
            Beispiel: Das Umweltmanagement von VW wurde 2011 vom TÜV zertifiziert (siehe etwa: http://auto-clever.de/35181-tuv-zertifiziert-vws-umweltmanagement). Schaut man in die gängigen Fan- und Unternehmensforen, ist es auch hier immer wieder Praxis, bei halbgaren Vorwürfen auf eine Zertifizierung zu verweisen.
            Das hat nichts mit Nebelkerzen zu tun, sondern mit einem effizienten Social Media Management. Gegenfrage: Warum sollte man einer Person eine ausführliche Argumentation liefern, nur weil irgendwelche unbewiesenen Aussagen im Raum stehen? Die ausführliche Argumentation steht in den Hintergrundquellen, entsprechend wäre das verschwendeter Aufwand.
            Wer es wirklich ernst mit dem Hinterfragen meint, der liest sich das für eine konstruktive Kritik notwendige Hintergrundwissen in einschlägigen Werken an.
            An fehlender Diskussions-Akzeptanz kann im übrigen auch zwischen Trollen und ernsthaften Diskussionspartnern unterschieden werden. Nachdem sie hier irgendwelche Aussagen in den Raum werfen, wünsche ich noch einen schönen Tag. Kommen sie das nächste Mal wieder, wenn sie genug Quellen gelesen und verstanden haben. Vielleicht kann man dann doch nochmal vernünftig mit ihnen diskutieren.

          • Am 28. Oktober 2014 um 18:29 von Na ja

            @Martin Schaflechner: „Gegenfrage: Warum sollte man einer Person eine ausführliche Argumentation liefern, nur weil irgendwelche unbewiesenen Aussagen im Raum stehen?“

            Na, weil der Kunde ein Recht darauf hat, eine klare Antwort auf sein Problem zu kriegen?

            Ganz offensichtlich wird zudem von einigen hier im Forum mit zweierlei Maß gemessen: Samsung darf ausweichen, totschweigen, einfach leugnen, ohne dass kritisch hinterfragt wird, und bei anderen Firmen wird ein riesiges Fass aufgemacht.

            Samsung braucht nichts weiter zu tun, als zu sagen: „nein, die Passworte werden NICHT lokal abgespeichert.“

            Klares Statement, klare Feststellung, der Kunde weiss: System ist diesbezüglich nicht gefährdet.

            Was tut Samsung? ‚Ist zertifiziert, bla, bla‘, da wird drum herumgeredet, wo Klarheit möglich UND geboten wäre.

            Ganz klar: niemand erwartet, dass sie das SOFORT tun, aber WENN sie etwas von sich geben, dann sollte es KONKRET sein, und keine Nebelkärze und kein Geschwätz.

          • Am 31. Oktober 2014 um 8:36 von Martin Schaflechner

            „Na, weil der Kunde ein Recht darauf hat, eine klare Antwort auf sein Problem zu kriegen?“

            Ein Kunde hat vielleicht ein Recht auf Transparenz und Information, aber ein Unternehmen ist garantiert nicht verpflichtet, ihm alles hinterher zu tragen, wenn eine Quelle mit allen wichtigen Informationen frei zur Verfügung steht.

            „Ganz offensichtlich wird zudem von einigen hier im Forum mit zweierlei Maß gemessen: Samsung darf ausweichen, totschweigen, einfach leugnen, ohne dass kritisch hinterfragt wird, und bei anderen Firmen wird ein riesiges Fass aufgemacht.“

            Wo messe ich denn mit zweierlei Maß? Das würde mich mal interessieren.

            „Klares Statement, klare Feststellung, der Kunde weiss: System ist diesbezüglich nicht gefährdet.
            Was tut Samsung? ‘Ist zertifiziert, bla, bla’, da wird drum herumgeredet, wo Klarheit möglich UND geboten wäre.
            Ganz klar: niemand erwartet, dass sie das SOFORT tun, aber WENN sie etwas von sich geben, dann sollte es KONKRET sein, und keine Nebelkärze und kein Geschwätz.“

            Die Zertifizierung ist die von ihnen gesuchte klare Feststellung und jeder Kunde hat die Möglichkeit, die für ihn relevanten Informationen für sich rauszuziehen.
            Wie gesagt, es ist Irrglaube, dass ein Unternehmen Kunden jede noch so kleine Information nachtragen muss. Dafür gibt es Literatur und Online-Quellen, in denen sich wirklich interessierte Leser informieren können. Alles andere ist unnötige Arbeit. Und in dem Fall hat man eben Pech gehabt, dass man sich nicht für ein wenig Recherche selbst bequemt.

  • Am 27. Oktober 2014 um 11:26 von punisher

    Das ist die Frage der Fragen…
    War mit dem israelischen Forscher auch so, Samsung hat es dementiert und vom „Forscher“ kam nie wieder was.

    • Am 28. Oktober 2014 um 18:35 von Na?

      Bist Du Dir da sicher, oder wurde das nur einfach ‚unter der Hand‘ geregelt? ;-)

      Wie wäre es mit einer Quelle, und nicht nur mit einer so vagen Behauptung?

  • Am 27. Oktober 2014 um 10:57 von Kalle Blom

    Wenn das Knacken relativ einfach möglich ist, warum knackt der „Forscher“ dann nicht einfach ein Handy, packt den Vorgang in ein Video und stellt es bereit ?
    Es wäre doch dann in Stein gemeißelt und auch Samsung könnten sich dann nicht mehr rausreden.
    Nur die Sachen zu behaupten bringt da nichts…

  • Am 27. Oktober 2014 um 9:42 von Hmm

    Ein klares Dementi sieht anders aus: auf den Vorwurf, dass das Password auf dem Smartphone abgelegt ist, würde ein klares Dementi lauten: ‚Nein, das Password ist nicht auf dem Smartphone abgelegt.‘ Ein Verweis auf irgendwelche Prüfungen und Zertifikate ist eher eine Nebelkerze.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *