Das Samsung Galaxy Note 3 hatte relativ schnell nach dem Marktstart einen sogenannten „Shitstorm“ auf Amazon gegen sich stehen. Grund dafür waren eigentlich zwei Kritikpunkte: Der Regio-Lock (der inzwischen vereinfacht wurde) und die Probleme mit Root-Zugriff.
Zu den Problemen mit Samsungs KNOX und dem Root-Zugriff gab es lange Spekulationen über einen eFUSE-Chip der beschädigt wird, sobald das Gerät mit root oder einem Custom ROM verändert wird. Root ermöglicht grundsätzlich Funktionen, die zum Schutz des Nutzers auf Geräten gesperrt sind und gewährt einen Vollzugriff auf das Gerät. Das braucht eigentlich kein normaler Nutzer – vergleichbar ist etwa der Jailbreak bei iOS. Samsung hat nun erklärt, was genau bei Root-Zugriff oder dem Aufspielen eines CustomROMs (also einer veränderten Firmware) bei dem Note 3 passiert.
Tatsächlich wird ein eFUSE-Chip zerstört, einfach, um dem System anzuzeigen, dass es verändert wurde. Grund dafür ist, dass ansonsten ein verändertes recovery-Image aufgespielt werden könnte, dann Root-Zugriff erlangt wird und danach dann wieder das ursprüngliche Recovery eingespielt wird. Dann wäre das System als solches wegen, dem Dank Root möglichen, Vollzugriff nicht mehr sicher und Knox als sicherheitsgebende Software für Unternehmen liefe ins Leere.
CF-Auto-Root is an ODIN-based rooting method and works on almost all Samsung devices including the latest model GALAXY Note 3. The idea behind it is simple: it flashes a modified recovery.img and cache.img where the device boots into the modified recovery image. It then installs Chainfire’s SuperSU on the system partition (rooting the device), re-flashes back the stock recovery image, and cleans the cache. The method is popular primarily because it is the easiest way to root Samsung devices.However, due to the use of a customized recovery image, CF-Auto-Root will trigger the security protection embedded in the trusted boot process, and an e-fuse will be burned to indicate that a non-KNOX kernel image has been loaded to the device. For example, some KNOX security mechanisms, such as SE for Android, will trigger an e-fuse if the system is booted with an arbitrary kernel, kernel initialization script or data, and therefore be disabled and no longer function correctly.The sole purpose of this fuse-burning action is to memorize that a kernel or critical initialization scripts or data that is not under Samsung’s control has been put on the device.Once the e-fuse bit is burned, a Samsung KNOX-enabled device can no longer create a KNOX Container, or access the data previously stored in an existing KNOX Container. This is a mechanism to ensure that enterprise data will be protected as long as the rooting attempt is detected.
Samsung möchte mit Samsung KNOX den BYOD-Markt erobern und muss insofern sicherstellen, dass sich nicht etwa ein Mitarbeiter heimlich gegen Richtlinien durchsetzt und das Gerät rootet ohne, dass dies bemerkbar wäre. Damit wären dann sensible Daten gefährdet – sicher nicht im Sinne von KNOX. Sobald der eFUSE-Chip durchgebrannt ist, können die mit einer 256bit-AES Verschlüsselung gesicherten Daten im KNOX-Modus nicht mehr erreicht werden. Die Entschlüsselung über das Gerät ist nicht mehr möglich.
Viel Lärm um nichts meiner Meinung nach: Root werden schon nur wenige Nutzer tatsächlich erlangen wollen (wenn man mal nicht durch die Geek-Brille schaut) und der Mehrgewinn an Sicherheit ist enorm. Beispiel Samsung oder Google Wallet. Wenn es um euer Geld geht, wollt ihr auch nicht auf einem unsicheren System unterwegs sein. Klar, dass die Community sich an der Begrenzung stört, aber root bleibt ja weiterhin möglich – das Gerät zeigt es nur an. Wie das mit der Gewährleistung in solchen Fällen ist kann ich euch nicht sagen, aber zumindest aus sicherheitstechnischer Sicht macht Knox Sinn. Auch wenn ich in der Android-Community lange selber aktiv mitgemischt habe, verstehe ich diesen Schritt. Das letzte Gerät was ich gerootet habe war das Galaxy Note (1), inzwischen gibt es für mich keinerlei Bedarf mehr danach. Kann man anders sehen, ich weiß – aber wie wird es wohl dem absoluten Großteil der Nutzer gehen?
Quelle via ChainfireXDA
