Samsung : un code PIN… stocké en clair sur l’appareil !

sécurité

La fiabilité du système Knox conçu par Samsung fait encore l'objet de critiques, voire du comble.

Et d’ailleurs, ce n’est pas la première fois que cette solution de protection des données professionnelles se voit mise en doute par des experts. Déjà, à la fin de l’année 2013, des chercheurs en sécurité avaient mis en lumière une faille permettant à des tiers d’insérer du code malicieux assez basiquement.

Aujourd’hui, c’est un autre type de vulnérabilité qui est  dévoilé dans la fonction permettant à l’utilisateur de retrouver un mot de passe oublié. Ô comble de la sécurité, la technologie en question est protégée par un code PIN… stocké en clair sur l’appareil (en l’occurrence, Knox Personal sur un Galaxy S4). Il serait simplement stocké dans un fichier nommé pin.xmi, on sent que certains vont rire jaune…

L’expert a également constaté que le mot de passe était aussi stocké en local, dans le fichiercontainerpassword_1.key, chiffré en AES. Apparemment, Samsung a tenté d’enterrer  ces fonctions dans une multitudes de classes Java.

« Pour un produit appelé Knox, j’aurais espéré une approche différente. La clé devrait dériver d’une fonction de type PBKDF2 [« Password-Based Key Derivation Function 2″], qui génère des clés plus fiables avec un meilleur caractère aléatoire » . Et d’ajouter : « Le fait que Samsung emploie une clé persistante uniquement pour une fonction permettant à l’utilisateur de retrouver son mot de passe compromet complètement la sécurité du produit » .

Samsung affirme que tout ce marasme est faux et que ces conclusions se portent sur une ancienne version de Knox. Bien sûr, que l’expert se serait aussi trompé dans la fonction générant la clé de chiffrement…

Tags :Sources :mobilesecurityares
Dernières Questions sur UberGizmo Help
  1. Il faut vérifier ses sources. En effet, ce fichier n’existe pas/plus donc il faut aussi mettre en doute la véracité de toutes ses affirmations. Encore un Appeliste frustré!!!

    1. UPDATE #2:

      Apparently Samsung said in their press release that user should try out My Knox, as Knox Personal is deprecated. I just tried to install it but sadly My Knox only works on Samsung Galaxy S5 and Samsung Galaxy Note4. So Samsung, you’re leaving all devices older than the S5 with a vulnerable version of Samsung Knox??

  2. « La fiabilité du système Knox conçu par Samsung fait encore l’objet de critiques, voire du comble »… Qu’est-ce que ça veut dire « voire du comble »?

    1. Ca en dit long sur le professionnalisme et la compétence (« voire du comble » de l’incompétence) de la personne sus-nommée.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publicité