Samsung KNOX byl schválen NSA, přestože ukládá hesla nešifrovaně

Událostí uplynulého týdne pro Samsung bylo jistě oznámení amerického úřadu NSA (National Security Agency), který schválil smartphony s KNOXem pro ukládání, čtení a další nakládání s utajenými dokumenty. To se týká všech zařízení Galaxy, pro které je dostupný režim KNOX, povolení mj. zahrnuje Galaxy S5, Galaxy Note 4 i tablet Galaxy Note 10.1 (2014 Edition). 

Následující den po udělení povolení se však na internetu objevily informace o tom, jak je KNOX vlastně jednoduše prolomitelný. Problém však nejsou bezpečnostní funkce, ty jsou na velmi dobré úrovni, problém nastává u samotného hesla k režimu KNOX. To je ukládáno do telefonu nešifrovaně, dokonce jako obyčejný text v XML souboru. Tento soubor navíc není nikterak schován, najdete jej v adresáři data/data/com.sec.knox.containeragent/, soubor dokonce nese jednoznačný název pin.xml! Případnému útočníkovi tedy stačí přečíst PIN z tohoto souboru, čímž se dostane do chráněné systémové části Androidu s citlivými daty.

Klepněte pro větší obrázek
Takto je u Galaxy S4 uložen PIN režimu KNOX. Pokud víte, kde hledat, najdete jej v nezašifrované podobě

A k čemu tento soubor slouží? Je využit v situaci, kdy uživatel zapomene heslo a vyžádá si v okně KNOXu nápovědu. Zobrazí se mu pak první a poslední písmeno z hesla a dokonce se dozví i jeho délku. Samotný programový kód k ukládání hesel je v KNOXu nešifrován, pouze skryt ve stovkách Java tříd provázaných dědičností. Samotný šifrovací základ je napsán jazyku C, šifrovací klíč KNOXu je pak kombinací Android ID (jednoznačná identifikace každého zařízení, ke které se může dostat s patřičným oprávněním každá Android aplikace) a jednoho přesně daného textového řetězce: „eu>q5b0KPlLwyb@*#j9?!*ehjl(LHukkA(di^S4UXAChr3B`_xf+@h*#S&wpfv&#“. Více informací se dočtete na tomto blogu, který se věnuje šokujícímu odhalení (ne)bezpečnosti KNOXu. Jako testovací model byl použit Galaxy S4 s předinstalovaným režimem KNOX, u redakčních modelů Galaxy S5 ani Galaxy Note 3 jsme však soubor pin.xml již nenalezli.

Na blogu se dočtete doporučení, že mnohem bezpečnější způsob (alespoň do té doby, než Samsung patřičně upraví KNOX) ochrany vašich dat je integrované nativní šifrování dat podle algoritmu PBKDF2, jehož klíč není na zařízení uložen. Mínusem je samozřejmě to, že pokud zapomenete heslo, data budou nenávratně ztracena. V brzké době bude zajímavé sledovat, jak zareaguje NSA, která si nevšimla možného jednoduchého zneužití KNOXu, či jak zareaguje Google, který klíčové funkce z KNOXu zaimplementoval do Androidu Lollipop.

Témata článku: Android, Samsung, Smartphony, Ostatní, Google, Bezpečnost

9 komentářů

Nejnovější komentáře

  • onelook 27. 10. 2014 21:49:42
    > tento soubor existoval pouze u osobního KNOXu 1.0, který nebyl napojen...
  • JeCh 27. 10. 2014 13:03:59
    Pokud jsem to pochopil, problém se týká starého modelu Galaxy S4, novější...
  • Lofwyr 27. 10. 2014 12:20:32
    NSA to schválila né přestože, ale PROTOŽE :-D
Určitě si přečtěte

Lenovo Moto Z Play: transformer, co konečně dává smysl. S Moto Mods, i bez nich [recenze]

Lenovo Moto Z Play: transformer, co konečně dává smysl. S Moto Mods, i bez nich [recenze]

** Výborně vybavený smartphone za rozumnou cenu ** Rozšiřitelnost i změna vzhledu za pomocí Moto Mods ** podpora pro dvě SIM a micro SD kartu zároveň

Dnes | Vrbacký Jakub

Vánoční ceník Vodafone: Bezdrátový reproduktor jako dárek k telefonu Huawei

Vánoční ceník Vodafone: Bezdrátový reproduktor jako dárek k telefonu Huawei

** K modelu Huawei Nova přidá Vodafone repráček v ceně 600 Kč ** V prosinci operátor nezlevnil žádný telefon a nejsou ani novinky ** Pokud se upíšete a nakoupíte na eShopu, dostatene slevu 2 000 Kč

Včera | Pospíšil Aleš

Týden mobilně 363: O tom, proč čeští důchodci dotují levné volání manažerům

Týden mobilně 363: O tom, proč čeští důchodci dotují levné volání manažerům

** České telekomunikace jsou rozdělené na dva trhy. Rezidenti doplácejí na firmy ** Představíme lesklý Alcatel Shine Lite ** Chybět nebude ani Mobilní pavlač s nejzajímavějšími událostmi uplynulého týdne

Včera | Kůžel Filip, Láska Jan | 43

Darujte mobilní aplikaci. Máme pro vás 9 tipů pro Android

Darujte mobilní aplikaci. Máme pro vás 9 tipů pro Android

** Darujte aplikaci. Nemusíte nikam chodit, je to užitečné a na vždycky ** Aplikací je nepřeberné množství, třeba pomohou naše tipy ** Na iPhonu je proces darování aplikace jednoduchý, na Androidu je to složitější

9.  12.  2016 | Chroust Martin | 11