Událostí uplynulého týdne pro Samsung bylo jistě oznámení amerického úřadu NSA (National Security Agency), který schválil smartphony s KNOXem pro ukládání, čtení a další nakládání s utajenými dokumenty. To se týká všech zařízení Galaxy, pro které je dostupný režim KNOX, povolení mj. zahrnuje Galaxy S5, Galaxy Note 4 i tablet Galaxy Note 10.1 (2014 Edition).
Následující den po udělení povolení se však na internetu objevily informace o tom, jak je KNOX vlastně jednoduše prolomitelný. Problém však nejsou bezpečnostní funkce, ty jsou na velmi dobré úrovni, problém nastává u samotného hesla k režimu KNOX. To je ukládáno do telefonu nešifrovaně, dokonce jako obyčejný text v XML souboru. Tento soubor navíc není nikterak schován, najdete jej v adresáři data/data/com.sec.knox.containeragent/, soubor dokonce nese jednoznačný název pin.xml! Případnému útočníkovi tedy stačí přečíst PIN z tohoto souboru, čímž se dostane do chráněné systémové části Androidu s citlivými daty.
Takto je u Galaxy S4 uložen PIN režimu KNOX. Pokud víte, kde hledat, najdete jej v nezašifrované podobě
A k čemu tento soubor slouží? Je využit v situaci, kdy uživatel zapomene heslo a vyžádá si v okně KNOXu nápovědu. Zobrazí se mu pak první a poslední písmeno z hesla a dokonce se dozví i jeho délku. Samotný programový kód k ukládání hesel je v KNOXu nešifrován, pouze skryt ve stovkách Java tříd provázaných dědičností. Samotný šifrovací základ je napsán jazyku C, šifrovací klíč KNOXu je pak kombinací Android ID (jednoznačná identifikace každého zařízení, ke které se může dostat s patřičným oprávněním každá Android aplikace) a jednoho přesně daného textového řetězce: „eu>q5b0KPlLwyb@*#j9?!*ehjl(LHukkA(di^S4UXAChr3B`_xf+@h*#S&wpfv&#“. Více informací se dočtete na tomto blogu, který se věnuje šokujícímu odhalení (ne)bezpečnosti KNOXu. Jako testovací model byl použit Galaxy S4 s předinstalovaným režimem KNOX, u redakčních modelů Galaxy S5 ani Galaxy Note 3 jsme však soubor pin.xml již nenalezli.
Na blogu se dočtete doporučení, že mnohem bezpečnější způsob (alespoň do té doby, než Samsung patřičně upraví KNOX) ochrany vašich dat je integrované nativní šifrování dat podle algoritmu PBKDF2, jehož klíč není na zařízení uložen. Mínusem je samozřejmě to, že pokud zapomenete heslo, data budou nenávratně ztracena. V brzké době bude zajímavé sledovat, jak zareaguje NSA, která si nevšimla možného jednoduchého zneužití KNOXu, či jak zareaguje Google, který klíčové funkce z KNOXu zaimplementoval do Androidu Lollipop.
