Schwachstellen in Samsung Knox
Bei einer Analyse von der auf vielen Geräten vorinstallierten Security-App Samsung Knox Personal kamen Mängel ans Licht. Der Hersteller erklärte die App für überholt, Ersatz gibt es allerdings nur für zwei aktuelle Spitzengeräte.
- Ronald Eikenberg
(Bild: Samsung)
Bei der Analyse einer auf zahlreichen Samsung-Geräten wie dem Galaxy S4 vorinstallierten Security-App hat ein Reverse Engineer, der sich Ares nennt, ernstzunehmende Sicherheitsprobleme entdeckt. Es geht um die App "Knox Personal", mit der man einen isolierten Bereich auf dem Android-Gerät anlegen kann, der komplett von dem übrigen System abgeschottet ist. In diesem Bereich kann man etwa mit Geschäftsdaten hantieren. Apps, die im allgemeinen Bereich installiert sind, sollen darauf nicht zugreifen können. Der isolierte Bereich wird verschlüsselt auf dem Gerät gespeichert.
PIN liefert Passwort-Tipps
Ares fand heraus, dass die App eine vom Nutzer gewählte PIN im Klartext speichert. Mit dieser PIN erhält ein Angreifer wertvolle Hinweise auf das gewählte Passwort. Die "Passwort vergessen"-Funktion verrät Knox nach Eingabe der PIN den ersten und letzten Buchstaben sowie die Länge des Passworts. Das deutet darauf hin, dass das Passwort irgendwo auf dem Gerät gespeichert sein muss. Tatsächlich stieß er auch noch auf eine Datei namens containerpassword_1.key, die das Passwort enthält – verschlüsselt mit AES.
eu>q5b0KPlLwyb@*#j9?!*ehjl(LHukkA(di^S4UXAChr3B`_xf+@h*#S&wpfv&#
Als Ares der App schließlich mit einem Decompiler zu Leibe rückte, stieß er auf die Funktion, die das Passwort verschlüsselt. Offenbar setzt sich der genutzte Key aus der individuellen Android-ID des Geräts und der Zeichenfolge "eu>q5b0KPlLwyb@*#j9?!*ehjl(LHukkA(di^S4UXAChr3B`_xf+@h*#S&wpfv&#" zusammen. Beide Informationen sind nicht geheim. Die Android-ID kann man leicht auslesen, die lange Zeichenfolge ist in die App kompiliert und anscheinend immer identisch. Grundsätzlich könnte ein Angreifer oder eine bösartige App also das Passwort entschlüsseln und auf den geschützten Bereich zugreifen.
Root-Blockade
Um auf die PIN oder das verschlüsselte Passwort zugreifen zu können, sind allerdings Root-Rechte erforderlich. Diese kann man sich oft gleich auf mehrere Weisen verschaffen. Knox versucht zwar, bekannte Rooting-Tricks zu blockieren, nach Einschätzung von Ares funktioniert dieser Mechanismus aber ähnlich wie der signaturbasierte Scan eines Virenschutzprogramms: Was der Mechanismus nicht kennt, würde er demnach auch nicht erkennen. Mit frischen Rooting-Tricks oder Modifikationen vorhandener Tools gelingt der Root-Vorgang möglicherweise trotzdem.
Am Ziel vorbei
Samsung reagierte mit einer Stellungnahme, die allerdings eher Verwirrung stiftete als für Aufklärung zu sorgen. So erklärt das Unternehmen, dass Knox die Password-Based Key Derivation Function 2 (PBKDF2) nutzt, um vom Passwort und einem Zufallswert einen Key für die Verschlüsselung abzuleiten. Damit zielt Samsung allerdings wohl knapp an dem Problem vorbei, da hier anscheinend die Verschlüsselung des eigentlichen Containers des abgesicherten Bereichs gemeint ist, nicht der Algorithmus, mit dem das Passwort verschlüsselt wird, ehe es auf dem Gerät gespeichert wird.
Abhilfe, aber nicht für alle
Die Speicherung des PINs dementiert der Hersteller nicht. Darüber hinaus erklärt Samsung, dass die analysierte Software ohnehin überholt ist und durch eine App namens MyKnox ersetzt wurde. Diese ist bislang allerdings nur für das Galaxy S5 und das Note 4 verfügbar. Die Enterprise-Versionen von Knox seien generell nicht von den Problemen betroffen. (rei)
