Twee Israëlische beveiligingsonderzoekers van de universiteit van Tel Aviv hebben een aantal grote beveiligingsproblemen gevonden in Samsung Knox. Het goede nieuws voor Samsung is dat het gaat om lekken in een oudere versie van Knox, maar echt goed nieuws is het niet, als je net als meest veilige mobiele platform uit de bus bent gekomen.

Eind april kwam Samsung Knox nog als meest veilige mobiele platform uit de bus, een platform dat gebruikt wordt door de Chinese, Russische en Amerikaanse overheid. Nu komen twee onderzoekers uit Israël, Uri Kanonov en Avisha Wool met een rapport over beveiligingslekken in ditzelfde platform.

De lekken zijn gevonden in Knox-versie 1 tot en met 2.3 dat wordt gebruikt op Android 4.3 en ouder. De onderzoekers stellen dat Knox wel degelijk een apparaat veiliger maakt maar het zogenaamde sandbox-systeem, maakt ook offers om gebruiksgemak voorop te stellen en dat gaat ten kosten van de veiligheid.

Het eerste beveiligingslek waar Kanonov en Wool melding van maken is een oude, uit Knox-versie 1.0, waar een eCrypt keygenerator werd gebruikt op basis van het wachtwoord van de gebruiker. De encryptie die wordt toegepast is echter enorm zwak en niet voldoende. De encryptie op zichzelf is met een 32bit AES-sleutel niet slecht, maar de manier waarop het encryptieprotocol wordt gebruikt wel.

De tweede beveiligingslek heeft effect op de manier waarop beveiligingscertificaten worden opgeslagen en gebruikt binnen Knox. De certificaten in Knox 1.0 worden niet apart opgeslagen en bijgehouden, maar gedeeld met de normale Android-omgeving. Gebruikers kunnen binnen Android ook zelf certificaten installeren en zo dus ook certificaten toevoegen aan Knox. De gebruiker moet hier weliswaar akkoord meegaan, maar aangezien veel gebruikers niet zo goed weten wat ze doen is het beter om certificaten apart op te slaan waar de gebruiker niet bij kan. Ook is het op die manier mogelijk om via een malafide app een VPN-verbinding op te zetten en kunnen kwaadwillende in principe alle data onderscheppen.

Tot op heden hebben de beveiligingslekken vooral effect op Knox 1.0 en dat is niet zo spannend, want Knox zat twee jaar geleden al op Knox 2.0 en is inmiddels aangekomen bij 2.6. Veel van deze lekken zijn niet meer van toepassing. Er is echter ook een beveiligingslek gevonden dat ook nog in Knox 2.3 aanwezig was, een versie die nog wel veel in omloop is. Dit lek zit in een service met de naam clipboardEx en biedt toegang tot data die is opgeslagen op het klembord binnen Knox en de normale Android-omgeving.

Samsung is eind 2015 al op de hoogte gesteld van de beveiligingslekken en heeft deze inmiddels gepatched, alleen niet iedereen heeft zijn toestel al bijgewerkt naar een nieuwere versie van Knox. Voor bedrijven die Knox gebruiken is het verstandig om de software bij te werken naar de laatste versie.