Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 42 reacties
Submitter: SidewalkSuper

Knox, het beveiligingsplatform van Samsung, gebruikt zwakke encryptiesleutels. Bovendien wordt de sleutel lokaal opgeslagen op het apparaat, om gebruikers wachtwoordhints te kunnen geven. Dat stelt een beveiligingsonderzoeker.

Samsung logo (45 pix)Gebruikers kunnen maar beter de ingebouwde versleuteling van Android gebruiken, in plaats van te vertrouwen op Knox, schrijft een beveiligingsonderzoeker. De sleutels die Knox genereert, zijn namelijk gebaseerd op het device-id en een aantal hardcoded-strings, in plaats van een daadwerkelijk unieke code.

Bovendien blijken de sleutels lokaal te worden opgeslagen. Waarschijnlijk gebeurt dat om gebruikers wachtwoordhints te kunnen geven als ze hun code vergeten. "Maar als je je code vergeet, moet je data ook verloren zijn", schrijft de onderzoeker. "Als de data kunnen worden achterhaald zonder de code te kennen, zijn de gegevens niet veilig." Daarnaast wordt de pincode die gebruikers moeten invoeren om een wachtwoordhint te kunnen opvragen in plaintext opgeslagen, ontdekte de onderzoeker.

Samsung prijst Knox aan als een platform voor bedrijven, waarmee ze bijvoorbeeld privégegevens van zakelijke data kunnen scheiden. Opvallend is dat de NSA Samsung Knox onlangs nog heeft goedgekeurd voor gebruik door de Amerikaanse overheid. Eerder dit jaar deden geruchten de ronde dat Samsung met het beveiligingsplatform zou stoppen, maar daar is niets van waar, verzekerde Samsung later.

Moderatie-faq Wijzig weergave

Reacties (42)

Goh, en daar komen we nu pas mee in het nieuws? Dit is al een tijdje bekend. Een paar maanden geleden postte tweakers ook een artikel over het makkelijk te kraken Knox. Toen werd er ook iets over eFuses gepost met een link naar de bron, en in die bron stond weer dat de sleutels op zich ook al zwak waren en eigenlijk ook extern berekend konden worden op basis van ID's van het beveiligde apparaat. 8)7 Dat is dan ook weer de reden dat er zo veel mensen vraagtekens zetten bij Google's adoptie van sommige Knox onderdelen in AOSP.

Toevoeging: voor de geďnteresseerden een screenshot van iemand die het stukje (brakke) obfuscatie blootgelegd heeft: http://4.bp.blogspot.com/...fHBrAl0YA/s1600/knox2.png

[Reactie gewijzigd door johnkeates op 24 oktober 2014 19:06]

Er zitten wel redelijk goede engineers bij Google, de belangrijkste dingen die ze overnemen, als ik het goed begrijp, zijn de SELinux-zaken. En die waren al vrij goed in orde.

Maar ja, het is niet zo netjes van Samsung. Ze moeten daar toch wel eens goed aan hun software beginnen te werken, ze proberen net iets te veel zelf uit denk ik.
  • Android has defenses...to protect itself, not your data. This is probably the biggest gaping hole left unaddressed by both the presentation and the ensuing commentary. It's one thing if an app is potentially harmful because it compromises Android in some way, but if the app isn't interested in control over your device or isn't a rootkit, that multi-layered defense only protects you up to the point where you install it. If the malware is designed to capture your data, location, usage, contact list, email addresses, or other data on your device, none of that is addressed (and frankly, it's not well addressed by security companies either. It really is a "watch what you install" kind of thing.)
  • Lack of installs doesn't equal a lack of malware. The fact that Google doesn't see a ton of malware installs through its own sources is great news—but that doesn't mean the malware isn't out there in the wild, and it doesn't mean that the threat of it isn't real. It means that the myth of infected handsets everywhere is definitely oversold by security companies, but it shouldn't make anyone more comfortable installing "AngryBirdsPremiumLulz.apk" from a shady website, thinking Android's defenses will protect them.
  • Many of Android's defenses are bypassed with a few taps, or by users. For many Android users, the first thing we do is turn off the "unauthorized sources" warning so we can sideload APKs we've backed up, or install from web sites or other sources. Want the Grooveshark Android app? Turn it off. Plan to sideload an app you had on your old phone that's no longer available? Turn it off. Have your phone rooted, or have a completely new ROM installed? Google may not count you either. That's just expert users—novice users who aren't paying attention to permissions or authorized sources are a whole other problem—one with serious, real-world consequences. In any case, that's five of those seven layers of defense bypassed directly.
If the malware is designed to capture your data, location, usage, contact list, email addresses, or other data on your device, none of that is addressed
Bij de installatie vraagt de app om die toegang. Het is je eigen keuze om dat vervolgens door te laten.
The fact that Google doesn't see a ton of malware installs through its own sources is great news
Android scant tegenwoordig ook installs buiten de appstore om, dus dat argument gaat een beetje nat.
For many Android users, the first thing we do is turn off the "unauthorized sources" warning
En weer de gebruiker die zelf een keuze maakt.

Ik ben het dan ook eens met de samenvatting van de schrijver van het door jou aangehaalde artikel.
The Short Version: Android Is Secure...Users Aren't
Of, hoe selectief quoten het beeld kan vertekenen.
Grappig, als je voorgaande versies van ms Windows op dezelfde manier verdedigde op deze website (schuld wegleggen bij eindgebruikers) werd je door het *nix front verketterd.. En nu is er een open source mobiel OS populair en guess what.. :+ :o
Bij Windows XP was besmetting een stuk eenvoudiger, daar zou ik de eindgebruiker lang niet altijd de schuld durven geven. Zeker ActiveX was een totale beveiligingsnachtmerrie.

Pas de laatste jaren, gecombineerd met een goede virusscanner, was XP niet meer zo slecht.

Toen UAC en gewone useraccounts kwamen werd het met een flinke sprong beter.

Maar goed ik snap denk ik waar je naar toe wil. Dit moet een Nix vs MS flamewar worden neem ik aan?
Nee, dat zeker niet, no flamewar intended. Maar; als iemand die dagelijks op het werk vnml Windows gebruikt en support, is het ook wel eens grappig om te zien dat het gras bij "de buren" niet altijd meer groener is. Ik denk dat *nix's imago dat het super veilig is, wel een klein deukje opgelopen heeft. O.a. Met het nieuws van de laatste tijd, bash bug etc..

Moet ergens gewoon gniffelen om de groep mensen die altijd geroepen hebben (en nog steeds roepen) dat alles wat van linux afgeleid is, onhackbaar en veilig zou zijn.. En dat Windows pertinent onveilig zou zijn, en het niets met de polulariteit en grote userbase te maken zou hebben. Android wordt populair en guess what? Blijkt dezelfde manco te hebben als Windows. Slordig (3rd party) programmeerwerk zorgt voor bugs, welke vervolgens als exploit gebruikt worden. O.a. Juist vanwege de grote userbase.
Dat komt denk ik omdat niet *nix gebruikers in de loop der tijd er een beetje een grapje van gemaakt hebben dat *nix zo veilig is en dit een beetje overschat hebben. "Linux is zooooooooooooooo veilig, nou gebeurt er dit ... moet je zien haha".

Terwijl zéker ook bij linux de gebruiker een grote rol speelt of een systeem veilig is of niet. Waarbij Microsoft op Windows daar een grotere rol in speelt omdat deze alle updates en Windows onderdelen beheren.
(en nog steeds roepen)
Als ze dat nu nog steeds roepen dan zijn ze een beetje van het padje misschien, al zijn er nog steeds punten waarop ik denk dat Linux sterker is dan Windows. Maar extreem veel veiliger dan Windows is het niet meer sinds UAC en beperkte user accounts.

Alleen door de repositories, die het hele OS inclusief de applicaties bijgehouden voor updates, denk ik dat Linux nog een voorsprong heeft. Door die werkwijze hoef je minder vaak software uit onbekende bronnen te gaan downloaden en/of updaten.

Voor Android geldt dat toch zeker ook. Zolang je je beperkt tot software uit de Play store is de kans op besmetting vrij klein (al kan je de discussie aangaan wat een besmetting is natuurlijk). Pas als je installeren uit onbekende bronnen toestaat en leuke warez gaat installeren ben je echt loslopend wild.

En verder geldt toch echt dat Linux en Android door mensen is ontwikkeld, dus fouten zal bevatten.
nu is er een open source mobiel OS populair en guess..
En google is de eerste die weer met closed source G-apps en G-services uit de installed base geld gaat maken, zonder dat je ziet wat al dat closed source spul allemaal aan het doen is op je telefoon behalve stroom en data verstoken.
SELinux (en AppArmor) zitten al in de Linux kernel, en ja, de engineers bij Google weten wel wat ze doen denk ik :) Maar wat ze uit Knox over willen nemen om bijv. Blackberry's en Apple's device lockdown opties in Android te krijgen zijn juist de dingen die gewoon in Knox niet werken en niet goed geďmplementeerd zijn om nuttig in te zetten.
ze proberen net iets te veel zelf uit denk ik.

Encryptie 101 - don't roll your own crypto.

En bovenop zijn het ook nog ammateurs. Wachtwoorden in plain text opslaan |:( Niet eens enkelvoudig hashen, laat staan dus een goed algorithme op basis van een meervoudige hash met unieke salt.

Samsung ziet crypto kennelijk als een user feature, net zoals een leuk icoontje of bepaalde differentierende app. En met zo'n insteek gaat het vanzelf fout.
Er zitten wel redelijk goede engineers bij Google, de belangrijkste dingen die ze overnemen, als ik het goed begrijp, zijn de SELinux-zaken. En die waren al vrij goed in orde.

Maar ja, het is niet zo netjes van Samsung. Ze moeten daar toch wel eens goed aan hun software beginnen te werken, ze proberen net iets te veel zelf uit denk ik.
Zoals de CEO van de concurrent zegt:
"Hoewel we de plannen van Google en Samsung toejuichen, denken wij niet dat het genoeg is voor bedrijven die veiligheid hoog in het vaandel hebben. Kijk liever naar bedrijven die letterlijk al drie decennia in veiligheid en productiviteit hebben gestoken. Kijk niet naar bedrijven die enkel over veiligheid praten, kijk naar bedrijven die het ook werkelijk weten te bieden."

Knox, is misschien prima voor het mkb bedrijf dat niet internationaal concurreert, maar als je internationaal handelt dan lijkt mij het niet genoeg bescherming bieden die je nodig hebt tegen bedrijfsspionage.
De CEO van BlackBerry moet iets meer gaan praten over de veiligheid van hun platform, verkopen ze misschien ook nog is wat ;)
Op uw verzoek: [A New Era for Enterprise Mobility]

Over verkoopaantallen wordt ook niet geklaagd tegenwoordig. In
Canada
Duitsland
Frankrijk
De VS
Het VK
Is het nieuwe model practisch uitverkocht.
Ook in Nederlandse winkels wordt de Passport schaars,
In nog maar 2 Nederlandse winkels is er op dit moment nog voorraad over.

Toch, zijn de verkoopcijfers slechts een fractie van wat het grote Samsung afzet op de markt.
Met alle respect, maar 200.000 units van een flagship device op 2 dagen verkopen in verschillende grote landen is tegenwoordig niet meer een succes te noemen.
Nu alleen nog geld verdienen in plaats van alleen maar te verliezen. Ik ben ontzettend blij met het schijnbare succes van de Passport. Zonder dat had ik het een stuk somberder ingezien.
ik heb ook geen enkele winkel gezien waar de passport 'prominent' gepositioneerd is. Ik kan me dus ook niet voorstellen dat er groot voor is ingekocht. En dan is hij al snel uitverkocht. Opzich goed dat hij het 'beter doet dan verwacht', maar eigenlijk spreken we iig voor de NL markt over 'minder rampzalig dan verwacht' vrees ik.
Een paar maanden geleden postte tweakers ook een artikel over het makkelijk te kraken Knox.
Ik kan dat artikel niet vinden?
Het plaatje dat je geeft zit ook in de bron van dit artikel?
Zou wel lui zijn als een eerder artikel hierover genegeerd wordt. Bron graag?
Zeg nou eerlijk. Wat is veilig. Alles valt te kraken.
Het een wat makkelijker als het andere maar uiteindelijk is niets 100% veilig.

Maar zou het voor een gemiddelde bedrijf goed genoeg zijn vraag ik mij af want daar is het voor bedoeld.

[Reactie gewijzigd door Garret1410 op 24 oktober 2014 19:45]

Er zit een verschil tussen accepteren dat iets niet 100% dichtgetimmerd kan worden en gewoon niet serieus proberen iets veilig te maken. Dat laatste doet Samsung
maarja, om echt eerlijk te zijn wil je ook niet zo maar dat bij verlies van sleutels je data ook echt niet meer terug te halen is.. Ja, jij misschien, maar 9.999 van de 1.000 gebruikers niet...
KNOX, is dat die software die je telefoon +1 tagged als 'geroot - device' waarna de gerantie van je telefoon is vervallen (na rooting)?
Waarom heb ik dan een compleet nieuw moederbord gehad van Samsung voor mijn geroote s4 nog geen jaar terug? Samsung KAN moeilijk gaan doen maar vooralsnog doen ze dat helemaal niet. Dus ook mijn note 4 direct geroot en de knox flag staat dus nu ook op 1x0 ipv 0x0 :)
huh? en rooten is trouwens niet verboden in Europa, en je verliest ook niet je garantie (wel in Amerika, niet in Europa) <~ mooi hé consumenten bescherming... "iets wat we zonder europa niet zouden hebben aangezien nederland (VVD) al eerder geprobeerd heeft om de garantie op producten onder de 2jaar te brengen zonder succes."
Dit is niet het eerste veiligheids probleem waar Knox tegenaanloopt.
En ze hebben ook een moeilijke taak, op een platform dat juist gebouwd is zo open mogelijk te zijn, zorgen dat niemand bij bedrijfsinformatie komt.

Bedrijven met veel ervaring doen dat aardig, maar in knox wordt het ene naar t andere veiligheids lek bekend... ik vraag me af, als er zoveel veiligheids lekken bekend worden... hoeveel meer exploits er dan nog niet wel als zero-day blijven voor knox.

[Reactie gewijzigd door nul07 op 24 oktober 2014 19:20]

Goed dat ik dit weet. Nu kan ik zeker een andere rom op de tab gaan zetten. Als Knox zelf al kapot is, hoef ik me geen zorgen te maken over de schakeling die kennelijk kapot gaat als Knox verwijderd wordt. Kapotter gaat het toch niet. :)
Knox is het eerste wat juist uit de software van Samsung werd gesloopt toen deze net bekend was gemaakt bij de community. Dat het zwak is is eigenlijk ook niet vreemd.
Heeel.samsung is zwak en zielig

Kut bedrijf
Yup ....
In jouw wereld wel, maar gelukkig ben jij geen maatstag of trendsetter hier in ;)

https://www.shi.samsung.co.kr/eng/Product/ship_overview.aspx

[Reactie gewijzigd door FreshMaker op 24 oktober 2014 21:42]

Ik begrijp niks van die NSA, aan de ene kant allemaal veiligheidstweaks in Android stoppen en aan de andere kant willen ze iedereen kunnen afluisteren, iets klopt er dan niet.
De NSA heeft dan ook twee functies: de eigen overheid en bedrijven beschermen en de rest kunnen afluisteren.

En net zoals elke grote (overheids) organisaties werken verschillende afdelingen niet altijd even goed gelijnd samen.

Bedenk ook dat tot een paar jaar geleden de 'beschermende' tak van de NSA de doorslaggevende was. De experts van de NSA hebben in positieve zin heel veel bijgedragen aan de wereld van encryptie.
experts van de NSA hebben in positieve zin heel veel bijgedragen aan de wereld van encryptie
Ja vooral voor de random number generators zijn ze beroemd geworden.
Enkel 'vooral' indien je pas sinds een jaar of 2 de zaak volgt :)

Ook de NITS curves die de forward secrecy bij vrijwel elk product van Apple, Google en Microsoft beschermen komen van een NSA medewerker.

De grote ommezwaai lijkt vooral gekomen te zijn door de gebeurtenissen in 2001. Maar ook nu nog geeft de NSA er groot belang bij dat Amerikaanse bedrijven en de eigen overheid veilig kunnen communiceren. Immers een lek voor hen is ook een lek voor een ander. Je kunt dus ook te cynisch worden.

De random generator was dan bijvoorbeeld ook geen algemene backdoor maar een public-private key implementatie van de seed. Anders zouden anderen het ook kunnen misbruiken.
NIST ≠ NSA

En wie wat langer meeloopt weet misschien nog van al die export restricties op crypto die ertoe leidden dat veel implementaties van cryptografische algoritmes buiten de Amerikaanse invloedssfeer ontwikkeld moesten worden. En dat PKI providers vanuit landen als Zuid Afrika gingen werken.

Verder ligt tussen 2001 en nu wel wat meer dan twee jaar.
NIST ≠ NSA

Klopt, maar waar stel ik van niet? De NIST curves zijn door een NSA medewerker opgesteld, net zoals de NIST random nummer generator waar jij het eerder over had ook door de NSA opgesteld was. De NSA is namelijk een van de deelnemers aan de NIST standaardisatie.

Simpelweg omdat zij ongelooflijk veel kennis hebben op gebied van encryptie. En die kennis hebben ze ook vaak gebruikt 'ten goede'. Juist omdat zij weten hoe iets te kraken, weten ze ook hoe iets op te stellen zodat het niet makkelijk gekraakt kan worden.

Maar dat simpele historische feit blijf jij dus nog steeds betwisten? :?
Ik ben niks aan het betwisten.

U suggereert iets als in ‘je pas sinds een jaar of 2 de zaak volgt’ en U vestigt de aandacht op hoeveel er door de Amerikaanse diensten is bijgedragen aan de ontwikkelingen.

Ik loop al een paar decennia mee en ik wijs erop dat als de Amerikaanse industrie niet links en rechts voorbijgelopen dreigde te worden door de ontwikkelingen die door het restrictieve exportbeleid werden veroorzaakt, dat we dan van die diensten weinig medewerking hadden hoeven te verwachten.

Het feit dat er ook een paar zwakheden werden gepromoot kun je vervolgens proberen weg te poetsen met hoeveel goeds ze wel niet doen, maar vergeet niet dat het wel gebeurd is. En niet per ongeluk.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True