Categories: Sicherheit

Israelische Forscher decken Schwachstellen in Samsung Knox auf

Wissenschaftler der Universität von Tel Aviv haben mehrere Sicherheitslücken in Samsungs Android-Sicherheitsumgebung Knox entdeckt. Davon betroffen sind aber nur ältere Geräte, die noch die Knox-Versionen 1.0 bis 2.3 unter Android 4.3 oder älter verwenden. Die Ergebnisse ihrer Untersuchung haben Uri Kanonov und Avishai Wool in einem Forschungsbericht (PDF) veröffentlicht.

Mit Samsung Knox lassen sich auf einem Android-Gerät Container erstellen, um private von geschäftlichen Daten zu trennen. Dadurch können Anwender beispielsweise ihr Smartphone sowohl privat als auch beruflich nutzen. Unternehmen haben zudem die Möglichkeit, die Umgebung zentral zu verwalten.

Kanonov und Wool sehen in Samsung Knox zwar eine „vielversprechende“ Lösung, die jedoch „einige Sicherheit zugunsten der Benutzerfreundlichkeit“ opfere. In ihrem Forschungsbericht stellen sie drei Lücken näher vor, die inzwischen durch den Hersteller geschlossen wurden.

Das erste Leck (CVE-2016-1919) beschreiben die Wissenschaftler als „schwache eCrypt-Schlüsselgenerierung“, basierend auf der Eingabe des Nutzerpassworts in Knox 1.0 unter Android 4.3. Das Verschlüsselungssystem beruht auf einem 32-Byte-AES-Schlüssel und umfasst sowohl Know-Container als auch alle auf der SD-Karte des Geräts gespeicherten Daten. Das eCrypt-Protokoll nutzt diese 32 Byte und das mindestens sieben Zeichen lange Nutzerpasswort zur Verschlüsselung, jedoch wurde es in Knox 1.0 fehlerhaft implementiert. Dadurch konnte die Verschlüsselung laut Kanonov und Wool mittels eines simplen Brute-Force-Angriffs geknackt werden.

HIGHLIGHT

Samsung Galaxy TabPro S im Test

Mit einem Gewicht von nur 693 Gramm gehört das Samsung Galaxy TabPro S zu den Leichtgewichten unter den 12-Zoll-Windows-Tablets. Hervorzuheben ist auch das verwendete Super AMOLED-Display: Es liefert einen hervorragenden Schwarzwert und einen sehr hohen Kontrast. Die Farbdarstellung ist exzellent

Die zweite Schwachstelle CVE-2016-1920 findet sich ebenfalls in Knox 1.0. Bei ihr handelt es sich um eine VPN-Man-in-the-Middle-Lücke. Sie entsteht im Wesentlichen dadurch, dass Anwendungen innerhalb des sicheren Containers und Apps, die außerhalb in der Standard-Android-Umgebung laufen, dieselben Zertifikate nutzen. Dies ermöglicht den Forschern zufolge letztlich Angriffe aus der Ferne. Installiert der Anwender beispielsweise eine schädliche App, die VPN-Berechtigungen benötigt und dann ein Drittanbieterzertifikat installiert, kann durch Starten der App ein VPN-Tunnel aufgebaut werden, über den Angreifer Daten auslesen können.

Die dritte Lücke CVE-2016-3996 findet sich in den Knox-Versionen 1.0 bis 2.3. Sie steckt in dem Knox-Dienst clipboardEx, der Zugriff auf die in der Knox- und Android-Zwischenablage gespeicherten Daten sowie die mit dem Dienst verbundenen Server gibt. Angreifer könnten das Sicherheitsloch ausnutzen, indem sie über eine Schadanwendung Exploit-Code einschleusen, um ohne Kenntnis des Nutzerpassworts Daten abzugreifen.

Kanonov und Wool haben Samsung nach eigenen Angaben im Dezember 2015 über ihre Erkenntnisse informiert. Mit der Veröffentlichung technischer Einzelheiten warteten sie bis jetzt, um dem Hersteller genügend Zeit für die Fehlerbehebung zu geben.

Die Forscher kritisieren in ihrem Bericht auch mangelnde Transparenz seitens Samsung, sodass über die Architektur der aus verschiedenen Modulen zusammengesetzten Sicherheitslösung zu wenig bekannt sei. Eines dieser Module ist die „ARM TrustZone“, die die Gefahr von Root-Exploits und Sicherheitslecks im Kernel reduzieren soll. Dazu müsse sie aber auch richtig implementiert sein, wie Kanonov und Wool betonen. Dies setze den korrekten Gebrauch von Knox und „aller Features in allen Bereichen“ voraus. Nur so erhalte man den maximalen Nutzen.

[mit Material von Martin Schindler, silicon.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

15 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

15 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

2 Tagen ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

2 Tagen ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

2 Tagen ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

2 Tagen ago