หลังจากมีนักวิจัยความปลอดภัยนิรนามออกมาวิเคราะห์ความปลอดภัยของระบบ KNOX ที่เพิ่งได้รับการรับรองให้ใช้งานระดับความลับของรัฐบาลสหรัฐฯ ตอนนี้ทางซัมซุงก็ออกมาชี้แจงบทวิเคราะห์นี้แล้ว
ทางซัมซุงยืนยันว่าส่วนแยกข้อมูล KNOX Enterprise ไม่ได้เก็บรหัส PIN เอาไว้ในเครื่องเหมือนอย่างที่บทวิเคราะห์ได้ระบุไว้ โดยการกู้คืนรหัสผ่านของ KNOX Enterprise จะต้องทำผ่านผู้ดูแลระบบขององค์กรเท่านั้น ส่วนที่มีรายงานว่าพบไฟล์ pin.xml นั้นเป็นส่วน KNOX Personal ที่ใส่มากับ KNOX 1.0 และใน KNOX 2.0 นั้นบริการส่วนนี้ก็ถูกแปลงเป็นบริการ My KNOX ที่ควบคุมผ่านเว็บของซัมซุงทำให้ไม่ต้องมีระบบกู้คืนรหัสผ่านแบบเดิมอีกต่อไป
ในส่วนที่รายงานระบุว่าไม่มีการเรียกใช้ฟังก์ชั่น PBKDF2 นั้นทางซัมซุงระบุว่ากระบวนการเข้ารหัสรหัสผ่านใน KNOX เป็นไปตามมาตรฐาน FIPS 140-2 และ MDFPP ส่วนตัวกุญแจของระบบไฟล์ก็อยู่ภายใต้ TrustZone และมีการควบคุมการเข้าถึงระบบไฟล์เป็นอย่างดี หากระบบปฎิบัติการถูกแก้ไข Trust Boot จะล็อกการเข้าถึงกุญแจเหล่านี้
ผมอ่านรายงานการทดสอบ Common Criterias ของซัมซุง ก็ระบุไว้ว่าต้องเข้ารหัสรหัสผ่านด้วย PBKDF เป็นไปได้ว่าจากรายงานวิเคราะห์ ทางซุมซุงไม่ได้เรียกใช้ฟังก์ชั่นมาตรฐานของแอนดรอยด์ การย้อนกลับระบบ KNOX จึงไม่พบการเรียกฟังก์ชั่น
เนื่องจากตัวบล็อกที่รายงานครั้งแรกเป็นบล็อกที่ไม่เปิดเผยชื่อนักวิจัย เราคงต้องรอกันต่อไปว่าตัวนักวิจัยจะกลับมาตอบรึเปล่าครับ
ที่มา - Samsung Tomorrow
Comments
ซัมซุงจะโดนเปิดประตูหลัง เหมือน Kakao chat ไหมครับเนี่ย ถ้าใช่ ผมว่าก็มีความเสี่ยงที่ Knox จะปล่อยแม่กุญแกอีกดอกให้รัฐบาลเกาหลีใต้นะครับ
แต่งานนี้ซัมซุงกั๊กอีกแล้ว
โดนไหมนี่ไม่มีใครรู้ครับ (เช่นเดียวกับ Windows, OS X, ไปจนถึง Linux Kernel) แต่ตามรายงานที่รายงานมาก่อนหน้านี้เขาก็ตอบมาทุกประเด็น ถ้ามีการตอบโต้หรือพบประเด็นเพิ่มเติมอีกก็เอามารายงานกัน
Kakao Talk นี่ผมยังไม่แน่ใจนักว่าประเด็นมันคืออะไร เพราะทาง Daum ก็ยืนยันว่าเป็นไปตามกระบวนการหมด ไม่ใช่ประตูหลังแบบส่งกุญแจ SSL ให้รัฐบาลอะไรแบบนั้น (ส่วนทฤษฎีสมคบคิดนี่คงตามแต่จินตนาการ) แต่ท่าทีที่แข็งกร้าวขึ้นมาของบริษัทก็น่าจะเป็นผลดีต่อผู้ใช้โดยทั่วไป
lewcpe.com, @wasonliw