Samsung KNOX byl schválen NSA, přestože ukládá hesla nešifrovaně

Událostí uplynulého týdne pro Samsung bylo jistě oznámení amerického úřadu NSA (National Security Agency), který schválil smartphony s KNOXem pro ukládání, čtení a další nakládání s utajenými dokumenty. To se týká všech zařízení Galaxy, pro které je dostupný režim KNOX, povolení mj. zahrnuje Galaxy S5, Galaxy Note 4 i tablet Galaxy Note 10.1 (2014 Edition). 

Následující den po udělení povolení se však na internetu objevily informace o tom, jak je KNOX vlastně jednoduše prolomitelný. Problém však nejsou bezpečnostní funkce, ty jsou na velmi dobré úrovni, problém nastává u samotného hesla k režimu KNOX. To je ukládáno do telefonu nešifrovaně, dokonce jako obyčejný text v XML souboru. Tento soubor navíc není nikterak schován, najdete jej v adresáři data/data/com.sec.knox.containeragent/, soubor dokonce nese jednoznačný název pin.xml! Případnému útočníkovi tedy stačí přečíst PIN z tohoto souboru, čímž se dostane do chráněné systémové části Androidu s citlivými daty.

Klepněte pro větší obrázek
Takto je u Galaxy S4 uložen PIN režimu KNOX. Pokud víte, kde hledat, najdete jej v nezašifrované podobě

A k čemu tento soubor slouží? Je využit v situaci, kdy uživatel zapomene heslo a vyžádá si v okně KNOXu nápovědu. Zobrazí se mu pak první a poslední písmeno z hesla a dokonce se dozví i jeho délku. Samotný programový kód k ukládání hesel je v KNOXu nešifrován, pouze skryt ve stovkách Java tříd provázaných dědičností. Samotný šifrovací základ je napsán jazyku C, šifrovací klíč KNOXu je pak kombinací Android ID (jednoznačná identifikace každého zařízení, ke které se může dostat s patřičným oprávněním každá Android aplikace) a jednoho přesně daného textového řetězce: „eu>q5b0KPlLwyb@*#j9?!*ehjl(LHukkA(di^S4UXAChr3B`_xf+@h*#S&wpfv&#“. Více informací se dočtete na tomto blogu, který se věnuje šokujícímu odhalení (ne)bezpečnosti KNOXu. Jako testovací model byl použit Galaxy S4 s předinstalovaným režimem KNOX, u redakčních modelů Galaxy S5 ani Galaxy Note 3 jsme však soubor pin.xml již nenalezli.

Na blogu se dočtete doporučení, že mnohem bezpečnější způsob (alespoň do té doby, než Samsung patřičně upraví KNOX) ochrany vašich dat je integrované nativní šifrování dat podle algoritmu PBKDF2, jehož klíč není na zařízení uložen. Mínusem je samozřejmě to, že pokud zapomenete heslo, data budou nenávratně ztracena. V brzké době bude zajímavé sledovat, jak zareaguje NSA, která si nevšimla možného jednoduchého zneužití KNOXu, či jak zareaguje Google, který klíčové funkce z KNOXu zaimplementoval do Androidu Lollipop.

Diskuze (9) Další článek: Mrkněte na úžasnou animaci. Postavičky přeskakují mezi 14 displeji

Témata článku: Google, Samsung, , , , , , Samsung Galaxy Note, Samsung Galaxy Note 10.1, Samsung Galaxy Note 10.1 (2014 Edition), Samsung Galaxy Note 10.1 (2014 Edition) 16GB LTE, Samsung Galaxy Note 10.1 (2014 Edition) 32GB LTE, Samsung Galaxy Note 10.1 (2014 Edition) 32GB Wi-Fi, Samsung Galaxy Note 10.1 (2014 Edition) 64GB LTE, Samsung Galaxy Note 10.1 (2014 Edition) 64GB Wi-Fi, Samsung Galaxy Note 10.1 16GB 3G, Samsung Galaxy Note 10.1 32GB 3G, Samsung Galaxy Note 10.1 64GB 3G, Samsung Galaxy Note 3, Samsung Galaxy Note 3 Neo, Samsung Galaxy Note 3 Neo Duos, Samsung Galaxy Note 4, Samsung Galaxy Pro, Samsung Galaxy S4, Samsung Galaxy S4 Active,