Samsung Knox

Samsung Knox
Samsung Knox
Тип	платформа безопасности и управления мобильными устройствами
Разработчик	Samsung
Операционная система	Android
Первый выпуск	2013
Аппаратная платформа	ARM
Состояние	активное
Сайт	samsungknox.com

Samsung Knox
Samsung Knox
Тип	платформа безопасности и управления мобильными устройствами
Разработчик	Samsung
Операционная система	Android
Первый выпуск	2013
Аппаратная платформа	ARM
Состояние	активное
Сайт	samsungknox.com

Samsung Knox — проприетарная платформа управления и безопасности, предварительно установленная на большинстве мобильных устройств Samsung. Основное назначение — предоставление организациям набора инструментов для управления рабочими устройствами, такими как служебные мобильные телефоны сотрудников или информационные киоски^[1]. Knox обеспечивает расширенное управление рабочими профилями и доступен только на устройствах Samsung^[2].

Возможности Knox делятся на три категории: защита данных, управление устройствами и поддержка VPN^[3]. Также Knox предоставляет веб-сервисы для управления устройствами организаций и позволяет настраивать корпоративные смартфоны (предустановленные приложения, настройки, анимации и экраны загрузки, экраны блокировки и др.)^[4].

С декабря 2020 года организации могут использовать камеры мобильных устройств Samsung как сканеры штрихкодов с помощью сервисов Knox для захвата и анализа данных^[5].

Samsung Knox интегрирует аппаратные и программные средства безопасности, что позволяет совмещать личный и рабочий контент на одном устройстве. Knox включает веб-сервисы для управления парком мобильных устройств: регистрация новых устройств, выбор системы унифицированного управления (UEM), задание организационных правил использования устройств, обновление прошивки^[6]. Для интеграции с приложениями доступен SDK и интерфейсы REST API^[7].

Сервисы

Samsung Knox предлагает следующие веб-сервисы для организаций:

Для управления мобильными устройствами: Knox Suite, Knox Platform for Enterprise, Knox Mobile Enrollment, Knox Manage и Knox E-FOTA^[6].
Для настройки и брендирования устройств: Knox Configure^[8].
Для захвата и анализа данных: Knox Capture^[9], Knox Peripheral Management^[10], Knox Asset Intelligence^[11].

Большинство сервисов доступны через веб-консоли Samsung Knox^[12], часть — через SDK^[13].

Knox Capture

Knox Capture использует камеру мобильных устройств Samsung для сканирования всех основных символьных систем штрихкодов: UPC, Code 39, EAN, QR-коды. Через консоль администраторы могут управлять параметрами ввода, формата и вывода данных, а также ассоциировать обработку данных с приложениями устройства^[14].

Knox Asset Intelligence

Knox Asset Intelligence помогает улучшать управление, производительность и жизненный цикл мобильных устройств. С помощью веб-консоли администраторы могут отслеживать состояние батареи, использование приложений, мониторить местоположение устройства и вести детальный Wi-Fi-анализ^[15].

Контейнер

С дебютом Galaxy S3 в 2013 году Knox предлагал фирменную функцию контейнера, изолировавшую приложения и чувствительные данные внутри защищённого пространства исполнения^[16]. Пользователь мог переключаться между личными и рабочими приложениями с помощью иконки Knox^[17]. Контейнер (позже Knox Workspace) администрировался через корпоративные UEM-решения^[18].

Позже из контейнера была выделена пользовательская версия, не требующая корпоративной UEM-системы: Personal Knox (позже My Knox, 2014), которая в 2017 году была заменена на Secure Folder^[19].

В 2018 году Samsung объявила о партнёрстве с Google для интеграции рабочей среды Android, а в 2019 году прекратила поддержку Knox Workspace^[20]. При этом Secure Folder до сих пор предустанавливается на большинство топовых смартфонов, но для активации требуется ручное включение^[21].

Real-time Kernel Protection (RKP)

Функция Samsung RKP отслеживает изменения в ядре в реальном времени и не позволяет загрузить устройство при обнаружении подозрительных изменений, выводя предупреждающее сообщение о «небезопасности»^[22]. Эта технология аналогична Android dm-verity/AVB и требует подписанного загрузчика^[23].

SE for Android

Хотя Android уже защищён средствами SE for Android, Knox добавляет регулярные обновления и патчи для повышения уровня безопасности^[24].

Secure Boot (Безопасная загрузка)

В процессе безопасной загрузки Samsung выполняет предзагрузочную проверку подписи всех компонентов операционной системы. При обнаружении несоответствия электронный предохранитель (e-fuse) срабатывает, а статус меняется с «Официально» на «Пользовательский»^[25].

Прочие возможности

Knox включает функции для корпоративного применения, такие как Samsung KMS (SKMS) для услуг eSE NFC, управление мобильными устройствами, управление сертификатами Knox (CEP), единая авторизация (SSO), одноразовые пароли, управление PIN SIM-карт, обновление прошивки по воздуху (FOTA)^[26] и VPN^[27].^[28]^[29]^[30]

Также ядро обновлено для защиты от получения root-прав приложениями (Defex), даже при успешном рутировании начиная с Android Oreo. Это препятствует внесению неавторизованных изменений со стороны сторонних приложений^[31].

Аппаратные особенности

Knox использует аппаратные средства безопасности ARM TrustZone (аналог TPM), а также постоянную память загрузчика^[32]. Knox Verified Boot контролирует процесс загрузки телефона совместно с аппаратной безопасностью, введённой в версии Knox 3.3^[33].

e-Fuse

В устройствах Samsung Knox используется электронный предохранитель (e-fuse), сигнализирующий о загрузке устройства по «ненадёжной» (неподписанной Samsung) цепочке. Если устройство запускается с модифицированным загрузчиком или ядром (или после прошивки сторонней версии Android), e-fuse устанавливается, и появляется сообщение «Гарантийный бит установлен: <reason>». После срабатывания e-fuse невозможно создать контейнер Knox Workspace или получить доступ к ранее сохранённым в нём данным^[34]. В США Samsung может отказать в гарантийном обслуживании для таких устройств^[35]. Однако в ряде случаев отмена гарантии может противоречить Закону о гарантии Магнусона — Мосса (1975), если неисправность устройства не связана с рутированием^[36]. Кроме того, после срабатывания e-fuse становятся недоступны отдельные приложения Samsung: Secure Folder, Samsung Pay, Samsung Health и режим инкогнито в Samsung Internet. Для некоторых старых версий Knox e-fuse можно было удалить, прошив кастомный firmware^[37].

Samsung DeX

Опции управления Samsung DeX были интегрированы в Knox 3.3 для более точного контроля доступа и безопасности^[38].

Samsung Knox TIMA

Архитектура TrustZone-based Integrity Measurement Architecture (TIMA) позволяет хранить ключи в доверенной среде для подписания сертификатов на аппаратном уровне^[39].

В июне 2014 года Служба информационных систем обороны США внесла пять устройств Samsung в список одобренных для использования с чувствительной, но неклассифицированной информацией^[40].

В октябре 2014 года исследователь безопасности обнаружил, что Samsung Knox сохраняет PIN-коды в открытом виде, а не защищает их солью и хэшированием с последующей обработкой через обфусцированный код^[41].

В октябре 2014 года АНБ США одобрило устройства Samsung Galaxy для быстрой эксплуатации коммерчески доступных технологий. Список включал Galaxy S4, S5, S6, S7, Note 3, Note 10.1 2014^[40].

В мае 2016 года израильские исследователи Ури Канонов и Авишай Вул обнаружили три уязвимости в некоторых версиях Knox^[42].

В декабре 2017 года Knox получил оценку «сильный» в 25 из 28 категорий в сравнительном исследовании безопасности разных платформ от Gartner^[43].

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]