Sicherheitsforscher

Samsung Knox speichert Passwörter auf Smartphones

27.10.2014
Ein nicht genauer benannter Sicherheitsforscher will in Samsung Knox eine gravierende Sicherheitslücke entdeckt haben. Der - von Samsung heftig bestrittene - Vorwurf ist besonders heikel, da die NSA gerade erst einige Knox-Geräte zur eigenen Nutzung freigegeben hat.
Samsung Knox
Samsung Knox
Foto: Samsung

Gerade erst wurde Samsungs Sicherheitslösung Knox vom Commercial-Solutions-for-Classified-Programm der NIAP (National Information Assurance Partnership) zertifiziert und erlaubt damit unter anderem die Nutzung einiger Knox-Geräte für vertrauliche Daten bei der NSA (National Security Agency), da behauptet ein nicht näher genannter Sicherheitsexperte, Knox sei unsicher. Er wies darauf hin, dass Knox eine bei der Einrichtung der App erstellte PIN im Klartext in eine Datei mit dem Namen pin.xml ablegt. Damit könnten Kriminelle einen Passworthinweis erfragen, der aus dem ersten und letzten Buchstaben des Passwortes und der Länge bestünde. Weiterhin behauptet der Experte, Knox speichere das Passwort auf dem Gerät und er habe bereits einen Verschlüsselungsschlüssel in einem der Unterordner gefunden.

Knox verbirgt das Verfahren zur Generierung des Schlüssels in einer Vielzahl von Java-Klassen und - Proxies, so der Sicherheitsforscher. Außerdem werde dafür auch die eindeutige Android-Geräte-ID genutzt. Diese in den Augen des Forschers wenig sichere Vorgehensweise enttäuscht ihn, er habe mehr von einem Produkt mit dem Namen Knox erwartet. Ein Passwort dürfe niemals auf dem Gerät gespeichert werden, auf dem es verwendet wird. Eine Wiederherstellungsoption bedeute außerdem generell, dass Daten nicht sicher seien. Der Sicherheitsforscher hatte Version 2.0.2 auf seinem Samsung Galaxy S4 untersucht, allerdings die Lösung für Privatanwender und nicht die Version für Unternehmen Knox EMM. In einem Statement erklärte das Unternehmen, die Vorwürfe seien detailliert untersucht worden, allerdings sei die Schlussfolgerung des Sicherheitsexperten falsch. Das Knox-Passwort und das Schlüssel-Management sei nach den besten Sicherheitsmethoden implementiert worden, die kürzliche Sicherheitszertifizierung sei eine Bestätigung eines unabhängigen Dritten, so Samsung.

Die Software-Komponenten von Samsung Knox kommen auch in Android L (optional) zum Einsatz.
Die Software-Komponenten von Samsung Knox kommen auch in Android L (optional) zum Einsatz.
Foto: Samsung

Knox wurde in einer ersten Version bereits auf dem MWC 2013 in Barcelona vorgestellt. Schon im Januar diesen Jahres hatte es Vorwürfe eines israelischen Forschers gegeben, der behauptete, dass Malware trotz Verschlüsselung E-Mails lesen und Datenkommunikation aufzeichnen könne. Knox erlaubt die Erstellung von unabhängigen Partitionen (Container) auf einem Android-Gerät, um private Daten von geschäftlichen zu trennen. Dafür nutzt Samsung Knox ein verschlüsseltes Dateisystem. Einige Teile von Samsung Knox wurden von Google in die kommende Version Android 5.0 Lollipop übernommen, daher könnten die Hinweise trotz gegenteiliger Beteuerungen des koreanischen Unternehmens demnächst nicht mehr nur für Besitzer von Samsung-Geräten wichtig werden, sondern für alle Android-Nutzer.

powered by AreaMobile

Zur Startseite