ggf. KNOX Sicherheitslücke bei Inhalten von Benachrichtigungen

Hallo,

Standardmäßig sind meine Benachrichtigungen so eingestellt, dass der Inhalt nicht angezeigt werden kann, wenn das Display gesperrt ist. In den Einstellungen von KNOX ist diese Einstellung ebenfalls so vorgenommen, dass ich wenn ich normal mit dem Handy arbeite, also nicht im sicheren Ordner bin, den Inhalt der Benachrichtigung erstmal nicht sehen kann.

Zusammengefasst also:

• Handy gesperrt:
  
  • kein Inhalt von normalen Benachrichtigungen
    
  • kein Inhalt von Benachrichtigungen aus Apps im sicheren Ordner

• Handy entsperrt, aber nicht innerhalb von KNOX:
  • Inhalt von normalen Benachrichtigungen
  • kein Inhalt von Benachrichtigungen aus Apps im sicheren Ordner

• Handy entsperrt & innerhalb von KNOX:
  • Inhalt von normalen Benachrichtigungen
  • Inhalt von Benachrichtigungen aus Apps im sicheren Ordner

Nun klappt das auch soweit wie erwartet. Habe ich mein Handy aber mit der GearVR verbunden, zeigt er mir munter alle Benachrichtigungen sowie deren Inhalte an. Konkret habe ich den KIK Messenger innerhalb des sicheren Ordners installiert und bekomme nun beim Spielen bzw. der Benutzung der Brille die Inhalte von Nachrichten etc. zu sehen, was so nicht sein darf und mir auch nur mit der Brille möglich ist. Ohne Brille ist kein rankommen an den Inhalt der Benachrichtigung ohne Anmeldung am sicheren Ordner.

Kann mir das Problem / die Lücke gemacht verifizieren? Oder habe ich einfach nur einen gewaltigen Denkfehler

Denkfehler dürfte das keiner sein. Würde ich an deiner Stelle an Samsung melden damit die den Fehler beheben können.

Ich würde das so erklären:

Die Gear VR Anwendung ist für das entgegennehmen der Benachrichtigung verantwortlich. Dort kann ja wahrscheinlich auch festgelegt werden welche Benachrichtigungen ankommen sollen.
Ist dort auch der Knox Dienst dabei, hast du eben auch dessen Benachrichtigungen auf der VR.

Man müsste also explizit der VR die Benachrichtigungen von Knox Anwendungen verweigern.

Ausserdem wird, so denke ich, das komplette Sperren des Handy's während der Nutzung der Gear VR unterbunden. Wäre ja auch blöd wenn dir das Handy den Sperrbildschirm anzeigt während du das Ding auf hast.

So richtige Einstellungen in der VR hat man dazu nicht. Ich glaube, da geht nur AN oder AUS. Dennoch kann ja nicht die VR Anwendung die Sicherheitseinstellungen vom KNOX übersteuern o0

Ich habe dem Support dort gerade mal geschrieben, werde mir langsam sicherer, dass das so nicht sein dürfte
[doublepost=1494100816,1494100411][/doublepost]

Onslaught schrieb:

Ausserdem wird, so denke ich, das komplette Sperren des Handy's während der Nutzung der Gear VR unterbunden. Wäre ja auch blöd wenn dir das Handy den Sperrbildschirm anzeigt während du das Ding auf hast.

Zum Vergrößern anklicken....

Man entsperrt das Handy vor der Nutzung von VR - korrekt. Das bloße Enstperren reicht ja aber nicht um die KNOX Inhalte zu sehen. Ich habe ja zwei Ebenen - eine um an das Handy zu kommen und eine um an den KNOX Container zu kommen. Nun reicht es in der VR anscheiend aus, dass ich Ebene 1 öffne und gleichzeitig Ebene 2 offen steht

Ich hab jetzt keine VR zum testen da und weiß nicht mehr wie das beim S7 war. Ist es nicht so, das Hardwareseitig eindeutig gekoppelt wird?
Das würde dann wohl reichen um die Authentifizierung auf Ebene 2 zu autorisieren. Sprich der User hat ja aktiv die Gear VR autorisiert.

Aber mal abwarten was der Samsung Support dazu sagt.

Autorisierung als solche würde ich erstmal ausschließen. Ich hatte Freitag meine neue GearVR mit auf Arbeit und mein Kollege hatte mal sein Handy drinnen und ich wieder meins - ohne irgendwas zu bestätigen oder sonstiges. Außer das normale entsperren des Displays halt (Ebene 1). Dementsprechend nimmt sich die VR da zu viel heraus - gekoppelt scheint nichts zu werden.

Wäre nur gespannt ob das mal jemand nachtesten kann und ob das auch mit anderen Apps der Fall ist oder ggf. nur durch eine komischen Kombination aus VR & KNOX & KIK zustande kam.