Werde Teil der Community - Registriere dich jetzt kostenlos! | Login
Anzeige
 
 
Autor:
Stefan Schomberg
| 7

Sicherheitsforscher: Knox speichert Passwörter auf Smartphones

Samsungs Sicherheitslösung Knox ist mal wieder in der Kritik. Jetzt behauptet ein nicht genauer benannter Sicherheitsforscher, in Knox eine gravierende Sicherheitslücke entdeckt zu haben, die das ganze System ad absurdum führe. Samsung regierte prompt und versicherte, die Vorwürfe seien unbegründet und Knox sicher. Der erneute Vorwurf ist jetzt besonders heikel, da die NSA gerade erst mit dem Commercial Solutions for Classified-Programm einige Knox-Geräte zur eigenen Nutzung freigegeben hatte.

Sicherheitsforscher: Knox speichert Passwörter auf Smartphones

Samsung Knox macht Samsung-Smartphones unternehmensssicher | (c) Samsung

Gerade erst wurde Samsungs Sicherheitslösung Knox vom Commercial-Solutions-for-Classified-Programm der NIAP (National Information Assurance Partnership) zertifiziert und erlaubt damit unter anderem die Nutzung einiger Knox-Geräte für vertrauliche Daten bei der NSA (National Security Agency), da behauptet ein nicht näher genannter Sicherheitsexperte, Knox sei unsicher. Er wies darauf hin, dass Knox eine bei der Einrichtung der App erstellte PIN im Klartext in eine Datei mit dem Namen pin.xml ablegt. Damit könnten Kriminelle einen Passworthinweis erfragen, der aus dem ersten und letzten Buchstaben des Passwortes und der Länge bestünde. Weiterhin behauptet der Experte, Knox speichere das Passwort auf dem Gerät und er habe bereits einen Verschlüsselungsschlüssel in einem der Unterordner gefunden.

Anzeige

Knox verbirgt das Verfahren zur Generierung des Schlüssels in einer Vielzahl von Java-Klassen und - Proxies, so der Sicherheitsforscher. Außerdem werde dafür auch die eindeutige Android-Geräte-ID genutzt. Diese in den Augen des Forschers wenig sichere Vorgehensweise enttäuscht ihn, er habe mehr von einem Produkt mit dem Namen Knox erwartet. Ein Passwort dürfe niemals auf dem Gerät gespeichert werden, auf dem es verwendet wird. Eine Wiederherstellungsoption bedeute außerdem generell, dass Daten nicht sicher seien. Der Sicherheitsforscher hatte Version 2.0.2 auf seinem Samsung Galaxy S4 untersucht, nicht aber die gleichnamige Enterprise-Mobility-Lösung Knox EMM. In einem Statement erklärte das Unternehmen, die Vorwürfe seien detailliert untersucht worden, allerdings sei die Schlussfolgerung des Sicherheitsexperten falsch. Das Knox-Passwort und das Schlüssel-Management sei nach den besten Sicherheitsmethoden implementiert worden, die kürzliche Sicherheitszertifizierung sei eine Bestätigung eines unabhängigen Dritten, so Samsung.

Knox wurde auf dem MWC 2013 in Barcelona vorgestellt. Bereits im Januar diesen Jahres hatte es Vorwürfe eines israelischen Forschers gegeben, der behauptete, dass Malware trotz Verschlüsselung E-Mails lesen und Datenkommunikation aufzeichnen könne. Knox erlaubt die Erstellung von unabhängigen Partitionen (Container) auf einem Android-Gerät, um private Daten von geschäftlichen zu trennen. Dafür nutzt Samsung Knox ein verschlüsseltes Dateisystem. Einige Teile von Samsung Knox wurden von Google in die kommende Version Android 5.0 Lollipop übernommen, daher könnten die Hinweise trotz gegenteiliger Beteuerungen des koreanischen Unternehmens demnächst nicht mehr nur für Besitzer von Samsung-Geräten wichtig werden, sondern für alle Android-Nutzer.

Mehr zum Thema: Smartphone, Tablet

Quelle: Mobile Security Blog via zdnet

Kommentar schreiben

Die Kommentarfunktion ist hier leider nur für angemeldete Benutzer freigegeben.

Du bist nicht dabei?
Werde Teil der Community
Registriere Dich jetzt kostenlos! | Login
Sichere Dir Deinen Usernamen, damit Deine Beiträge und Bewertungen nicht verloren gehen.
 
Lesen Sie alle 7 Kommentare in unser Community.
Kommentare
  1. 28.10.14 13:58 pixelflicker (GURU)

    Das hätte wenig Sinn. Die Hardware-Entwickler dürften ganz andere sein als die Software-Entwickler.
    Das ist immer schön einfach gesagt: konzentriert euch lieber auf X, aber man braucht die Leute auch dafür. Das Unternehmen hat seine Mitarbeiterstruktur nun mal auf Hardware ausgerichtet.

    Wenn du ein Note kaufen willst, hast du ja leider wenig Alternativen. Kein anderer bietet ein Gerät mit vergleichbarer Bedienung an. Die haben alle keinen Stift dabei und das macht das Note halt nun mal aus. Phablets ohne Stift habe ich noch nie verstanden.

  2. 28.10.14 12:22 Mr.No (Handy Profi)

    Das das Früher oder Später immer mehr und auch immer intensiver wird, war ja abzusehen. Statt mal die Produktpallette etwas auszudünnen und die Energie mal in die Softwareentwicklung zu stecken. Wenn Knox von von Google "übernommen" wird, weht da hoffentlich ein andere Wind.

    Samsung schlampt in der Hinsicht schon extrem.
    Bei mir steht ja eigentlich ein neuer SP-Kauf an. Interessier mich für das Note4 aber nach der Lüge die Samsung mit dem OS Update für das S3 abgezogen hatte, zögere ich in der Hoffnung ein anderes besseres SP auf den Markt zu finden.

  3. 27.10.14 17:28 pixelflicker (GURU)

    Stimmt, die Quelle hatte ich nicht angeschaut. Da scheint es sehr detailliert erklärt zu sein.

    Ich muss ja auch sagen, dass ich (leider) nicht gerade überrascht bin, dass Samsung hier unsaubere Software programmiert hat.
    Etwas eher Besorgniserregend als die übliche Schlamperei bei Samsung ist aber, dass Google das übernehmen will.

  4. 27.10.14 15:48 M.a.K (Handy Master)

    Nicht vor dem was ich schrieb, aber jetzt. Es gibt auch ein Update dazu.

  5. 27.10.14 14:46 Stefan Schomberg (Leitender Testredakteur)

    Aha. Aber die Quelle habt ihr gesehen, oder?

    mfg

  6. 27.10.14 13:55 pixelflicker (GURU)

    Das sagt nicht viel aus. Wenn die Datei mit dem Passwort in Klartext gespeichert wird, heißt das ja nicht, dass die Datei selbst nicht verschlüsselt wird. Das ist mir alles viel zu ungenau um darüber überhaupt was sagen zu könnne, geschweigedenn um einen Artikel daraus zu machen.

antworten
 
Aktuelle Geräte im Test
Anzeige
Samsung Galaxy S5 Angebote
Samsung Galaxy S5

Empfehlung

ab 1.00 EUR
monatlich 0.00 EUR
eteleon

weitere Angebote zum Samsung Galaxy S5
 
Anzeige