Warum Samsung Knox kein Fort Knox, aber trotzdem sicher ist

Viele Smartphones von Samsung haben mittlerweile die Sicherheitslösung Knox vorinstalliert, mit der sich geschäftliche Apps von privaten Apps abschotten lassen. Nachdem Knox für die Nutzung mit US-Geheimsachen freigegeben wurde, hat sich ein Sicherheitsexperte mit Knox auseinander gesetzt. In diesem Artikel erkläre ich, warum Knox trotz seiner Befunde sicher ist.

Note3_Knox-3

Knox verschlüsselt die geschäftlichen Daten mit einem Schlüssel, der aus einem Passwort generiert wird. Außerdem wird für die Generierung die einzigartige Android ID, sowie eine feste Buchstabenfolge verwendet, die sich beide auf dem Gerät finden lassen. Im Klartext: Findet man diese Daten, lässt sich das Passwort leicht ausrechnen, sodass in Knox eingebrochen werden kann.

Update: Der Artikel bezieht sich auf Knox 1.0 Personal, wobei Samsung mittlerweile bekanntgegeben hat, dass keine feste Buchstabenfolge verwendet wird. Damit wird der Schlüssel selbst mit Root nicht knackbar. Knox 2.0, also auch My Knox, benutzt laut Samsung sogar eine noch sicherere Methode zur Schlüsselgenerierung.

Was der Autor nicht erwähnt ist, dass für das Finden des verschlüsselten Passworts Root-Zugriff benötigt wird. Wenn ein Angreifer Root-Zugriff auf ein Gerät erlangt, ist das System sowieso schon kompromittiert, denn der Angreifer hat so Vollzugriff auf den gesamten Speicher und kann beliebige Programme ausführen. Dass ein mit Root-Zugriff versehener Angreifer gefährlich ist, ist definitiv keine Neuigkeit.

Um keine falsche Sicherheit zu suggerieren, wird Knox beim Entsperren des Bootloaders permanent in der Hardware deaktiviert. Sollte ein Nutzer sein Gerät also freiwillig rooten wollen, gibt es keine Möglichkeit zur Nutzung von Knox mehr. Um diesen Schutz zu umgehen, muss eine Sicherheitslücke im System gefunden werden, die Root-Zugriff gibt. Es gibt Nutzer, die diese Lücke ausnutzen um ihr Gerät zu verbessern, doch auch Angreifer könnten diese nutzen. Besonders mit neueren Versionen von Android wird dies jedoch zunehmend schwieriger, da Google SELinux aktiviert hat. Jedes Programm wird so in einem speziellen „Kontext“ ausgeführt, was Ausbrüche schwierig macht und viele Root-Exploits verhindert.

Ein Root-Exploit kann auch nicht einfach so auf ein Android-Gerät kommen. Am einfachsten wäre es für einen Angreifer, diesen in einer App zu verpacken, die zunächst nützlich erscheint. Über den Play Store wird die Verteilung jedoch schwierig, da Google jede App in einer Sandbox ausprobiert und überprüft, ob diese bösartigen Code ausführt. Sollte die App eine Sicherheitslücke ausnutzen und das System verändern, bemerkt der Play Store dies und sperrt die App.

Einfacher wäre es für einen Angreifer also, die App als APK per Website-Download zu verbreiten. Um diese zu installieren, müsste der Benutzer des Gerätes jedoch diverse Sicherheitswarnungen ignorieren, wenn die Installation nicht sogar durch einen Administrator deaktiviert wurde.
Das letzte Einfallstor wäre der Browser, über den sich schädlicher Code einschleusen ließe. Android setzt auf die Webengine des Chrome-Browser, der sich in der Vergangenheit als sehr sicher erwiesen hat.

Natürlich gibt es in all diesen Sicherheitssystem Lücken, hundertprozentige Sicherheit gibt es jedoch nie. Trotz der Befunde des Sicherheitsforschers gibt es jedoch keinen Grund zur Panik, da zur Kompromittierung von Knox zunächst eine Kompromittierung des gesamten Systems notwendig wäre.

Wenn ihr auf "Kommentare von Disqus laden" klickt, wird ein entsprechender Cookie gesetzt und Nutzerdaten, beispielsweise die IP-Adresse an Server von Disqus in den USA geschickt, die Kommentare werden dann geladen. Eure Entscheidung. Mehr Infos dazu in den Datenschutzhinweisen.

12 thoughts on “Warum Samsung Knox kein Fort Knox, aber trotzdem sicher ist

  1. Ich find’s nach dem Lesen doch eher unsicher!

    Mal angenommen, ich nutze Knox. Verliere mein Gerät. Irgendwer findet es und rootet es mit einem Exploit per einer dieser 1-click-Root Apps. Nichts mit flashen also. Dann kann er die beiden Dinge auslesen und per Bruteforce das PW rausrechnen, gelle? Astreine Sicherheit…

    • Siehe Update, aber selbst wenn der Hacker das Gerät bekommt, kann ein Root Exploit nicht so einfach installiert werden. Shell Zugriff gibt es nur per ADB, was aber nur entsperrt funktioniert. Um KNOX weiter abzusichern, reicht also schon ein normaler Lockscreen.

      • Der Lockscreen ist doch relativ schnell umgangen, da nicht nach X Fehleingaben gesperrt/zurückgesetzt wird. Für Bruteforce Angriffe gibt es wohl entsprechende USB Geräte, die die Eingaben emulieren.

          • Wie kommst du darauf? Normal nimmt man den Pin, das Muster sieht man doch sehr leicht im Fett und auf lange Wege hat keiner Bock. 4er Pin = 10.000 Möglichkeiten. Verzögerungen gibts mE nicht (bei WP schon!), früher – bis Android 2.2 rum – wurde ab wenigen Fehleingaben das Ding gesperrt und das PW des Google-Accounts nötig. Hat man irgendwann weg genommen. Die USB-Knack-Dongles machen’s dann fix auf, auch dein Muster! ;(

  2. Denke trotzdem, dass Knox keine Zukunft hat. Dafür ist die Verschlüsselung augenscheinlich zu unsicher, zweitens wird Google mit Lollipop funktional gleichziehen. Wie US-Behörden für Samsung Knox eine Freigabe erteilen konnten, ist mir echt ein Rätsel. Offenbar sehen sie die Zukunft der zumeist noch eingesetzten Blackberrys schwinden und sind froh über jeden potenziellen Nachfolger.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.