CYBER NEWS

Samsung Svar på kritisk rapport om Knox

For nylig, en rapport, der kritiserede Knox Technologys password management og kryptering funktioner i Samsungs Note annonce Galaxy mobile enheder (Android-baserede) fremprovokerede en masse svar og modargumenter.
Samsung Knox-Sårbarheder
Ifølge en rådgivende, der blev offentliggjort i sidste uge, en PIN valgt under opsætning af Knox App på Samsung-enheder gemmes i klar tekst. Forfatteren kritiserede også bibliotekerne, der bruges til at udlede krypteringsnøgler ved Knox Personal på Galaxy S4. Som et svar på den kritiske erklæring, Samsung afslørede, at Knox Personlig allerede er blevet erstattet, og sikkerhedsspørgsmål er blevet elimineret på Knox enterprise-version.

En forsker med Azimuth Security sagde, at tilsyneladende den testede version af anordningen var gamle og ikke beregnet til enterprise brug. De fejl, der blev påpeget i rapporten påvirker ikke brugerne på den sidste version af Knox og var aldrig en trussel for brugerne af virksomhedens udgave.

Rapporten blev udsendt få dage efter NSA (National Security Agency) som indgår Galaxy enheder, der kører Knox i sine kommercielle løsninger for klassificerede Program.

→Samsung Knox indeholder sikkerhedsfunktioner, der muliggør forretning og personlige indhold til at sameksistere på samme håndsæt. Brugeren trykker på et ikon, der skifter fra Personal to Work brug med nogen forsinkelse eller genstart ventetid. (Wikipedia)

Her er de tre vigtigste punkter i rapporten, og hvordan Samsung svarede til dem i en erklæring fra sidste fredag.

En Mealy Machine Bibliotek, Bruges i Key Generation Process

Samsung anfører, at adgangskodebaseret Key Derivation Funktion 2 (PBKDF2) anvendes i Knox 1.0. Dens formål er at generere en krypteringsnøgle ved at kombinere et tilfældigt tal generator på enhederne og brugerens adgangskode. Nøglen afledning er blevet styrket i Knox 2.0 ved at følge Common Criteria anbefaling MDFPP.

Krypteringsnøglen, der kræves til Auto-Mount Container filsystem gemmes i TrustZone

Denne erklæring er blevet bekræftet af Samsung, men selskabet påpeger, at adgang til denne nøgle styres. Det kan kun hentes af betroede system processer. Og hvis et system bliver kompromitteret, KNOX Trusted Boot låser beholderen nøglelageret.

KNOX Container Stores en Alternativ pinkode i Klartekst for password nulstilles

Virksomheden absolut benægter dette for de virksomhedsstatistikker containere. I stedet, det tæller på it-administratorer at nulstille og ændre adgangskoder, ved hjælp af deres MDM agent. Samsung bekræfter oplysningerne til Knox 1.0 Personlige beholdere, om, at disse beholdere ikke forvaltes af en MDM agent og gemme et alternativt PIN-kode eller er afhængige af en Samsung-konto til at inddrive adgangskoder. Kan ikke oprettes De personlige containere på KNOX 2.0 valuta.

Avatar

Berta Bilbao

Berta er en dedikeret malware forsker, drømmer om en mere sikker cyberspace. Hendes fascination af it-sikkerhed begyndte for et par år siden, da en malware låst hende ud af hendes egen computer.

Flere indlæg

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...