Samsung erklärt das Problem mit Root und Sicherheitslösung KNOX

Das Samsung Galaxy Note 3 hatte relativ schnell nach dem Marktstart einen sogenannten „Shitstorm“ auf Amazon gegen sich stehen. Grund dafür waren eigentlich zwei Kritikpunkte: Der Regio-Lock (der inzwischen vereinfacht wurde) und die Probleme mit Root-Zugriff.

Note3_Knox-3

Zu den Problemen mit Samsungs KNOX und dem Root-Zugriff gab es lange Spekulationen über einen eFUSE-Chip der beschädigt wird, sobald das Gerät mit root oder einem Custom ROM verändert wird. Root ermöglicht grundsätzlich Funktionen, die zum Schutz des Nutzers auf Geräten gesperrt sind und gewährt einen Vollzugriff auf das Gerät. Das braucht eigentlich kein normaler Nutzer – vergleichbar ist etwa der Jailbreak bei iOS. Samsung hat nun erklärt, was genau bei Root-Zugriff oder dem Aufspielen eines CustomROMs (also einer veränderten Firmware) bei dem Note 3 passiert. 

Note3_Knox-5

Tatsächlich wird ein eFUSE-Chip zerstört, einfach, um dem System anzuzeigen, dass es verändert wurde. Grund dafür ist, dass ansonsten ein verändertes recovery-Image aufgespielt werden könnte, dann Root-Zugriff erlangt wird und danach dann wieder das ursprüngliche Recovery eingespielt wird. Dann wäre das System als solches wegen, dem Dank Root möglichen, Vollzugriff nicht mehr sicher und Knox als sicherheitsgebende Software für Unternehmen liefe ins Leere.

CF-Auto-Root is an ODIN-based rooting method and works on almost all Samsung devices including the latest model GALAXY Note 3. The idea behind it is simple: it flashes a modified recovery.img and cache.img where the device boots into the modified recovery image. It then installs Chainfire’s SuperSU on the system partition (rooting the device), re-flashes back the stock recovery image, and cleans the cache. The method is popular primarily because it is the easiest way to root Samsung devices.
However, due to the use of a customized recovery image, CF-Auto-Root will trigger the security protection embedded in the trusted boot process, and an e-fuse will be burned to indicate that a non-KNOX kernel image has been loaded to the device. For example, some KNOX security mechanisms, such as SE for Android, will trigger an e-fuse if the system is booted with an arbitrary kernel, kernel initialization script or data, and therefore be disabled and no longer function correctly.
The sole purpose of this fuse-burning action is to memorize that a kernel or critical initialization scripts or data that is not under Samsung’s control has been put on the device.
Once the e-fuse bit is burned, a Samsung KNOX-enabled device can no longer create a KNOX Container, or access the data previously stored in an existing KNOX Container.  This is a mechanism to ensure that enterprise data will be protected as long as the rooting attempt is detected.

Samsung möchte mit Samsung KNOX den BYOD-Markt erobern und muss insofern sicherstellen, dass sich nicht etwa ein Mitarbeiter heimlich gegen Richtlinien durchsetzt und das Gerät rootet ohne, dass dies bemerkbar wäre. Damit wären dann sensible Daten gefährdet – sicher nicht im Sinne von KNOX. Sobald der eFUSE-Chip durchgebrannt ist, können die mit einer 256bit-AES Verschlüsselung gesicherten Daten im KNOX-Modus nicht mehr erreicht werden. Die Entschlüsselung über das Gerät ist nicht mehr möglich.

Samsung UNPACKED Episode 2 Samsung Knox

Viel Lärm um nichts meiner Meinung nach: Root werden schon nur wenige Nutzer tatsächlich erlangen wollen (wenn man mal nicht durch die Geek-Brille schaut) und der Mehrgewinn an Sicherheit ist enorm. Beispiel Samsung oder Google Wallet. Wenn es um euer Geld geht, wollt ihr auch nicht auf einem unsicheren System unterwegs sein. Klar, dass die Community sich an der Begrenzung stört, aber root bleibt ja weiterhin möglich – das Gerät zeigt es nur an. Wie das mit der Gewährleistung in solchen Fällen ist kann ich euch nicht sagen, aber zumindest aus sicherheitstechnischer Sicht macht Knox Sinn. Auch wenn ich in der Android-Community lange selber aktiv mitgemischt habe, verstehe ich diesen Schritt. Das letzte Gerät was ich gerootet habe war das Galaxy Note (1), inzwischen gibt es für mich keinerlei Bedarf mehr danach. Kann man anders sehen, ich weiß – aber wie wird es wohl dem absoluten Großteil der Nutzer gehen?

Quelle via ChainfireXDA

Wenn ihr auf "Kommentare von Disqus laden" klickt, wird ein entsprechender Cookie gesetzt und Nutzerdaten, beispielsweise die IP-Adresse an Server von Disqus in den USA geschickt, die Kommentare werden dann geladen. Eure Entscheidung. Mehr Infos dazu in den Datenschutzhinweisen.

29 thoughts on “Samsung erklärt das Problem mit Root und Sicherheitslösung KNOX

  1. Dumme Frage, wenn ich jetzt mal angenommen Opfer einer Attacke werde bei der ein anderer boeser Mensch mir ein custom image draufspielt um mich oder meine Firma auszuspionieren, dann brennt der eFuse Chip durch und weil ich dann ein Opfer einer Hackerattacke geworden bin verliere ich dann als Strafe auch noch die Garantie ? Macht das Sinn ? Da werde ich doch doppelt bestrafft.

  2. Mal eine Frage so in den Raum gestellt?

    Gedanke – Wenn ich während der Garantiezeit eine veränderte Rom aufspiele dann wird die Hardware (der Chip bzw. der Leiter) beschädigt?.

    Was ist aber wenn ich nach der Garantiezeit z. B. Cyanogen Mod aufspielen möchte, da neuere und aktuellere Software als die vom Hersteller.

    – Dann beschädige ich außerhalb der Garantiezeit wissentlich die Hardware?? wo ist da mein Recht??

    Beim SIM-Lock gibt es ja auch nach 2 Jahren einen Code zum Entsperren??

  3. Jungs, übersehe ich hier was, oder ist diese Erklärung bullshit. Denn wie man auf Wikipedia nachlesen kann, wird es Knox auch nachträglich noch für das S4 und sogar S3 geben. Das S3 zumindest besitzt keinen eFuse-Chip. Dann wäre Knox auf diesen Handys nach Samsungs eigener Logik vollkommen sinnlos. Es ist doch auch sonst Samsungs Art zu sagen, dass es neue Features für bestimmte Geräte nicht mehr nachträglich gibt, wenn sie die Systemvorraussetzungen nicht erfüllen.

    Ich glaube wir werden hier verarscht.

  4. Einfach jedem ein System aufzudrängen nur weil man im Bereich Geschäftskunden einsteigen will ist doch lächerlich! Besser wäre es nach Bedarf zu Installieren! Aber so spart man sich das Geld für den Umtausch von gerooteten Phones. Was Weltweit nicht wenig sein dürfte! Und leider kann Samsung sich rausnehmen was es will. Gekauft wird trotzdem.
    Zum Root an sich kann ich sagen das es ohne egal ob bei Samsung oder anderen einfach nicht geht. Zu viel Apps die nicht gebraucht werden und unheimlich viel Speicher einnehmen! Sicher gibt es eine Klientel der das egal ist. Aber nicht jeder ist ein Juppi der das Phone als Potenzmittel gebraucht sondern es gibt auch Menschen die gerne alles aus ihrem Phone rausholen.

  5. Für mich ist Root unverzichtbar und mittlerweile benutze ich nur noch Cyanogenmod. Lars‘ Ansicht teiteile ich nicht.
    Root wegen: Bloatwareentfernung (mein Akku hält nun wesentlich länger), Samsung’s Updatepolitik – ich bin schon auf 4.4 mit meinem S4 Mini, Werbeblocker, Firewall, Tasker (ohne root kann ich nicht das GPS anschalten), Greenify und und und.
    Titanium Backup ist auch alleine schon ein Grund für das Rooting, denn die Backup Lösungen von Android sind wirklich schlecht (einer der wenigen Punkte, wo iOS noch vorne liegt).
    Sollte Samsung das Rooten unmöglich machen, dann werde ich mir keine Samsung-Geräte mehr kaufen. Bei den Telefonen gibt es auch genug Alternativen, nur beim Tablet würde es mir schwer fallen, mich vom S-Pen zu trennen.

  6. Wenn Samsung nicht solche tollen Handys bauen würde wäre ich auch schon bei einem anderen Handy Hersteller. Das Design und die Handhabung gefallen mir sehr gut, aber auch das man einen akku wechseln und eine Speicherkarte einsetzen kann, nicht wie bei dem HTC One.
    AUßERDEM steht bei Geräte tests das Samsung meist an erster stelle…

  7. ROOTEN ist absolut notwendig und mit den originalen Roms kann man doch absolut nix anfangen.
    Wer benutzt schon knox, das ist ein unnötiger Scheiss

  8. Diese Erklärung von Samsung ist aufschlussreich, aber nicht hilfreich. So lange Samsung die Garantieleistung auf die Hardware nach einem Rooten des Gerätes einschränkt, bleibt es problematisch. Es sollte den Nutzern überlassen bleiben, ob sie auf Knox verzichten möchten, um das Gerät Rooten zu können.
    Ich habe keinen Rootzugriff, aber vermisse ihn oft.

  9. Ach übrigens könnte man nach der Logik der Sicherheit dann auch PC’s so bauen, das nur noch ein Betriebssystem darauf läuft. Da Windows im Vergleich zu anderen OS schon deutlich unsicherer ist, dürften da einige dumm aus der Wäsche gucken.
    Denkbar wäre aber auch, das in Zukunft jemand sich mit CyanogenMod zusammenschließt und eine oder mehrere Cyanogenphones auf den Markt bringt. Aber auch das nur so ein Gedanke…

  10. Ich empfehle AAS auch auf Psionparkvideo oft und gern. AllAboutSamsung ist einfach nah am Puls der Zeit mit interessanten Beiträgen und Kommentaren. Samsung’s KNOX ist allerdings aus meiner Sicht (noch) ein „No Go“. Das hängt unter anderem damit zusammen, das gerade über CyanogenMod und AOKP sowie einigen anderen prima Arbeit geleistet wird und entscheidende Modifikationen einbauen die wirklich gut bis genial sind. Sicherheit ist bei SAMSUNG das Thema aktuell und da stört KNOX die Fangemeinde der Customroms erheblich. Ich denke dass es besser wäre eine neue Serie an Smartphones laufen zu lassen. Beispielsweise unter dem Namen SAMSUNG BUSINESS B7100, oder soetwas in der Richtung. Da könnte sich jeder selbst entscheiden was ihm wichtiger ist. So bliebe man der Gruppe Samsung-Customroms-Fans treu die einerseits diese Geräte liebt will sie nahezu prädestiniert dafür waren, während man andererseits die BUSINESS-SAFETY-CLASS bedient.
    Warum ich das für meinen Fall so sehe ist schnell erklärt. Für meine Psionparkvideo’s und die Screencasts ist offensichtlich Rootzugriff nötig um von Display filmen zu können. Nandroid-Backups gehen in der Regel auch nur mit Root, sowie diverse andere Features. Man kann es auch anders sehen, das denke ich auch, wobei ich jetzt meinen Gedanken jetzt subjektiv als ein simples „okay“ bezeichnen möchte – nein doch nicht, er ist besser!

  11. Das mit dem eFUSE-Chip ist für mich verständlich da sonst Knox nicht sicher wäre. Ich brauche Knox jedoch nicht und würde gerne rooten (vor allem um einen Werbeblocker zu installieren), was mich stört ist dass ich dadurch die Garantie verlieren würde.

    • Gesetzlich ist die Lage in Europa so das Samsung sich auf den Kopf stellen kann wenn das Gerät einer Privatperson gehört die ja laut Ihren eigenen Aussagen Knox nicht braucht. Folgedessen bleibt die 6 monatige Herstellergarantie aufrecht und kann gerichtlich eingeklagt werden.

  12. Naja, es gibt durchaus gute Gründe, ein Custom ROM zu benutzen. Sei es, wie macyo schreibt aus Gründen zusätzlicher Features, oder weil man zum Beispiel mehr Privatsphäre haben möchte, was nach den ganzen Geheimdienstskandalen wirklich sinnvoll sein kann. Die Gründe für den eFuse Chip sind zwar nachvollziehbar, er sollte aber von Samsung nicht missbraucht werden, um Custom ROM Nutzern die Garantie zu verweigern.

  13. Gut, auf Knox mag man ja vielleicht zugunsten Root verzichten können- aber zur Garantie/Gewährleistung wäre dringend ein offenes Wort von Samsung notwendig!

    • Ja so sehe ich das auch……. Im Artikel wurde viel geschrieben aber doch ist er Inhaltlich leer. Wie KNOX funktioniert ist ja nichts neues und das die Daten dann nicht mehr geschützt sind war auch klar.

      Also für mich steht in dem Text nur: Blabla…Blabla…Blabla…Blabla…Blabla…Blabla…Blabla…Blabla…Blabla…Blabla…Blabla…Blabla…Blabla…Blabla…

  14. Als ich mir das erste Note im November 2011 gekauft hatte, wurde dieses, ebenso wie das 10.1., sofort nach Kauf gerootet. Einfach weil es möglich war und es einen Mehrwert hatte. Dieser Mehrwert wäre zwar auch heute gegeben, aber derzeit gibt es für mich noch kein brauchbares ROM und der Nutzen/Mehrwert ist mir heute nicht mehr so wichtig.
    Fand den Artikel auch sehr interessant, danke!

  15. Habe mein S2 vor ein paar Wochen gerootet (Garantie ist ja eh futsch!) Und muss sagen für mich lohnt es nicht! Also bahn frei für das Note 3 😉

  16. Ich habe ein Galaxy S4 und habe es Gerootet. Custom Roms brauche ich nicht, aber eben Root. Ein Beispiel: Ich deinstalliere Anwendungen die im Systemordner liegen, mit Titanium Backup. Oder ich zocke mit meinem PS3 Controller etliche Spiele und auch Emulatoren Spiele. Ein weiteres Beispiel ist ein Werbeblocker oder auch Apps die mir ein Wechseldatenträger ermöglicht.

    Wie ist das mit dem „durchbrennen“ von dem Chip gemeint? Brennt dieser wirklich durch und es riecht dann verschmort?

    Deine Artikel sind immer wieder top! 😉

  17. Ich dachte auch das ich nicht mehr rooten muss. Wurde aber nun schon mehrmals eines besseren belehrt.
    Ein Beispiel: Ich nutze die K810 Bluetooth Tastatur für mein Desktop, Notebook und Handy. Wenn ich diese mit dem Note 3 verbinde stellt es immer automatisch die Samsung Tastatur ein. Nun kann man sagen die is doch Top. Ja ist sie. Trotzdem nutze ich Swype + Dragon Dictation. Die ist einfach noch n ticken besser und mein Favorit will sie z.B. dass Wörterbuch mit allen meinen devices abgleicht.
    Leider habe ich noch andere solcher Probleme die wohl ohne Root nicht zu lösen sind.

  18. Konnte bei mir nie schnell genug gehen mit dem root Zugriff und einem Custom Rom. Werde aber kein Custom mehr einspielen und auch im root sehe ich keinen Sinn mehr.

  19. Und wieso kann ich mein KNOX nicht mehr öffnen? Habe kein root oder sonstiges seit dem letzten Update geht es einfach nicht mehr! 🙁 hat noch wer das Problem?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.