Recentemente, um relatório que critica as funções de criptografia e gerenciamento de senhas da Knox Technology nos dispositivos móveis Note ad Galaxy da Samsung (Baseado no Android) provocou muitas respostas e refutações.
De acordo com um comunicado, que foi publicado na semana passada, um PIN selecionado durante a configuração do aplicativo Knox em dispositivos Samsung é salvo em texto não criptografado. O autor também criticou as bibliotecas que são usadas para derivar chaves de criptografia por Knox Personal no Galaxy S4. Como uma resposta à declaração crítica, Samsung revelou que Knox Personal já foi substituído, e os problemas de segurança foram eliminados na versão corporativa do Knox.
Um pesquisador da Azimuth Security disse que aparentemente a versão testada do dispositivo era antiga e não se destinava ao uso empresarial. As falhas apontadas no relatório não afetam os usuários da última versão do Knox e nunca foram uma ameaça para os usuários da versão corporativa.
O relatório foi divulgado alguns dias após a NSA (Agencia de Segurança Nacional) como dispositivos Galaxy incluídos que executam Knox em seu Programa de Soluções Comerciais para Classificados.
→Samsung Knox fornece recursos de segurança que permitem que conteúdo comercial e pessoal coexistam no mesmo aparelho. O usuário pressiona um ícone que muda de uso pessoal para trabalho sem atraso ou tempo de espera de reinicialização. (Wikipedia)
Aqui estão os três principais pontos levantados no relatório e como a Samsung respondeu a eles em um comunicado da última sexta-feira.
Uma biblioteca de máquinas Mealy, Usado no processo de geração de chave
A Samsung afirma que a função de derivação de chave baseada em senha 2 (PBKDF2) é usado em Knox 1.0. Seu objetivo é gerar uma chave de criptografia combinando um gerador de números aleatórios nos dispositivos e a senha do usuário. A principal derivação foi reforçada em Knox 2.0 seguindo a recomendação de critérios comuns MDFPP.
A chave de criptografia necessária para montar automaticamente o sistema de arquivos do contêiner é salva no TrustZone
Esta afirmação foi confirmada pela Samsung, mas a empresa ressalta que o acesso a essa chave é controlado. Ele pode ser recuperado apenas por processos de sistema confiáveis. E se um sistema for comprometido, O KNOX Trusted Boot bloqueará o armazenamento de chaves do contêiner.
KNOX Container armazena um PIN alternativo em texto simples para redefinições de senha
A empresa nega absolutamente isso para os contêineres corporativos. Em vez de, conta com administradores de TI para redefinir e alterar senhas, usando seu agente de MDM. Samsung confirma as informações para Knox 1.0 Recipientes pessoais, informando que esses contêineres não são gerenciados por um agente MDM e armazenam um PIN alternativo ou contam com uma conta Samsung para recuperar senhas. Os recipientes pessoais não podem ser criados no KNOX 2.0 inventa.
