АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ
ТехнологииИнфраструктура и безопасностьИнформационная безопасностьSamsung Knox

Samsung Knox

Экспертиза РАН

Logo-ran-black.png
Проведена экспертиза
Российской академией наук
Подробнее
Aprove.svg

Экспертиза РАН

Arrow-Right.png
Logo-ran.png
Проведена экспертиза
Российской академией наук
Подробнее

Samsung Knox — проприетарная платформа управления и безопасности, предварительно установленная на большинстве мобильных устройств Samsung. Основное назначение — предоставление организациям набора инструментов для управления рабочими устройствами, такими как служебные мобильные телефоны сотрудников или информационные киоски[1]. Knox обеспечивает расширенное управление рабочими профилями и доступен только на устройствах Samsung[2].

Возможности Knox делятся на три категории: защита данных, управление устройствами и поддержка VPN[3]. Также Knox предоставляет веб-сервисы для управления устройствами организаций и позволяет настраивать корпоративные смартфоны (предустановленные приложения, настройки, анимации и экраны загрузки, экраны блокировки и др.)[4].

С декабря 2020 года организации могут использовать камеры мобильных устройств Samsung как сканеры штрихкодов с помощью сервисов Knox для захвата и анализа данных[5].

Общие сведения
Samsung Knox
Тип платформа безопасности и управления мобильными устройствами
Разработчик Samsung
Операционная система Android
Первый выпуск 2013
Аппаратная платформа ARM
Состояние активное
Сайт samsungknox.com

Описание

Samsung Knox интегрирует аппаратные и программные средства безопасности, что позволяет совмещать личный и рабочий контент на одном устройстве. Knox включает веб-сервисы для управления парком мобильных устройств: регистрация новых устройств, выбор системы унифицированного управления (UEM), задание организационных правил использования устройств, обновление прошивки[6]. Для интеграции с приложениями доступен SDK и интерфейсы REST API[7].

Сервисы

Samsung Knox предлагает следующие веб-сервисы для организаций:

  • Для управления мобильными устройствами: Knox Suite, Knox Platform for Enterprise, Knox Mobile Enrollment, Knox Manage и Knox E-FOTA[6].
  • Для настройки и брендирования устройств: Knox Configure[8].
  • Для захвата и анализа данных: Knox Capture[9], Knox Peripheral Management[10], Knox Asset Intelligence[11].

Большинство сервисов доступны через веб-консоли Samsung Knox[12], часть — через SDK[13].

Knox Capture

Knox Capture использует камеру мобильных устройств Samsung для сканирования всех основных символьных систем штрихкодов: UPC, Code 39, EAN, QR-коды. Через консоль администраторы могут управлять параметрами ввода, формата и вывода данных, а также ассоциировать обработку данных с приложениями устройства[14].

Knox Asset Intelligence

Knox Asset Intelligence помогает улучшать управление, производительность и жизненный цикл мобильных устройств. С помощью веб-консоли администраторы могут отслеживать состояние батареи, использование приложений, мониторить местоположение устройства и вести детальный Wi-Fi-анализ[15].

Контейнер

С дебютом Galaxy S3 в 2013 году Knox предлагал фирменную функцию контейнера, изолировавшую приложения и чувствительные данные внутри защищённого пространства исполнения[16]. Пользователь мог переключаться между личными и рабочими приложениями с помощью иконки Knox[17]. Контейнер (позже Knox Workspace) администрировался через корпоративные UEM-решения[18].

Позже из контейнера была выделена пользовательская версия, не требующая корпоративной UEM-системы: Personal Knox (позже My Knox, 2014), которая в 2017 году была заменена на Secure Folder[19].

В 2018 году Samsung объявила о партнёрстве с Google для интеграции рабочей среды Android, а в 2019 году прекратила поддержку Knox Workspace[20]. При этом Secure Folder до сих пор предустанавливается на большинство топовых смартфонов, но для активации требуется ручное включение[21].

Real-time Kernel Protection (RKP)

Функция Samsung RKP отслеживает изменения в ядре в реальном времени и не позволяет загрузить устройство при обнаружении подозрительных изменений, выводя предупреждающее сообщение о «небезопасности»[22]. Эта технология аналогична Android dm-verity/AVB и требует подписанного загрузчика[23].

SE for Android

Хотя Android уже защищён средствами SE for Android, Knox добавляет регулярные обновления и патчи для повышения уровня безопасности[24].

Secure Boot (Безопасная загрузка)

В процессе безопасной загрузки Samsung выполняет предзагрузочную проверку подписи всех компонентов операционной системы. При обнаружении несоответствия электронный предохранитель (e-fuse) срабатывает, а статус меняется с «Официально» на «Пользовательский»[25].

Прочие возможности

Knox включает функции для корпоративного применения, такие как Samsung KMS (SKMS) для услуг eSE NFC, управление мобильными устройствами, управление сертификатами Knox (CEP), единая авторизация (SSO), одноразовые пароли, управление PIN SIM-карт, обновление прошивки по воздуху (FOTA)[26] и VPN[27].[28][29][30]

Также ядро обновлено для защиты от получения root-прав приложениями (Defex), даже при успешном рутировании начиная с Android Oreo. Это препятствует внесению неавторизованных изменений со стороны сторонних приложений[31].

Аппаратные особенности

Knox использует аппаратные средства безопасности ARM TrustZone (аналог TPM), а также постоянную память загрузчика[32]. Knox Verified Boot контролирует процесс загрузки телефона совместно с аппаратной безопасностью, введённой в версии Knox 3.3[33].

e-Fuse

undefined

В устройствах Samsung Knox используется электронный предохранитель (e-fuse), сигнализирующий о загрузке устройства по «ненадёжной» (неподписанной Samsung) цепочке. Если устройство запускается с модифицированным загрузчиком или ядром (или после прошивки сторонней версии Android), e-fuse устанавливается, и появляется сообщение «Гарантийный бит установлен: <reason>». После срабатывания e-fuse невозможно создать контейнер Knox Workspace или получить доступ к ранее сохранённым в нём данным[34]. В США Samsung может отказать в гарантийном обслуживании для таких устройств[35]. Однако в ряде случаев отмена гарантии может противоречить Закону о гарантии Магнусона — Мосса (1975), если неисправность устройства не связана с рутированием[36]. Кроме того, после срабатывания e-fuse становятся недоступны отдельные приложения Samsung: Secure Folder, Samsung Pay, Samsung Health и режим инкогнито в Samsung Internet. Для некоторых старых версий Knox e-fuse можно было удалить, прошив кастомный firmware[37].

Samsung DeX

Опции управления Samsung DeX были интегрированы в Knox 3.3 для более точного контроля доступа и безопасности[38].

Samsung Knox TIMA

Архитектура TrustZone-based Integrity Measurement Architecture (TIMA) позволяет хранить ключи в доверенной среде для подписания сертификатов на аппаратном уровне[39].

Известные факты о безопасности

В июне 2014 года Служба информационных систем обороны США внесла пять устройств Samsung в список одобренных для использования с чувствительной, но неклассифицированной информацией[40].

В октябре 2014 года исследователь безопасности обнаружил, что Samsung Knox сохраняет PIN-коды в открытом виде, а не защищает их солью и хэшированием с последующей обработкой через обфусцированный код[41].

В октябре 2014 года АНБ США одобрило устройства Samsung Galaxy для быстрой эксплуатации коммерчески доступных технологий. Список включал Galaxy S4, S5, S6, S7, Note 3, Note 10.1 2014[40].

В мае 2016 года израильские исследователи Ури Канонов и Авишай Вул обнаружили три уязвимости в некоторых версиях Knox[42].

В декабре 2017 года Knox получил оценку «сильный» в 25 из 28 категорий в сравнительном исследовании безопасности разных платформ от Gartner[43].

Примечания

  1. Secure mobile platform and solutions (англ.). Samsung Knox (15 января 2021). Дата обращения: 15 января 2021. Архивировано 23 декабря 2021 года.
  2. App Container (англ.). docs.samsungknox.com. Дата обращения: 7 января 2021. Архивировано 12 декабря 2024 года.
  3. Samsung Knox Feature Summary (англ.). docs.samsungknox.com. Дата обращения: 6 января 2021. Архивировано 12 декабря 2024 года.
  4. 8 Steps to Customizing Mobile Devices With Knox Configure (англ.). Samsung Business Insights (7 января 2020). Дата обращения: 6 января 2021. Архивировано 22 сентября 2020 года.
  5. Matthew Miller. Samsung Galaxy XCover Pro: Microsoft Teams Walkie Talkie experiences and Knox Capture release (англ.). ZDNet. Дата обращения: 6 января 2021. Архивировано 26 февраля 2024 года.
  6. 1 2 Knox for Enterprise Mobility (англ.). Samsung Knox. Дата обращения: 6 января 2021. Архивировано 19 октября 2017 года.
  7. Knox Developer Documentation (англ.). docs.samsungknox.com. Дата обращения: 6 января 2021. Архивировано 12 февраля 2025 года.
  8. Knox for Device Customization (англ.). Samsung Knox. Дата обращения: 6 января 2021. Архивировано 29 июля 2025 года.
  9. Knox Capture (англ.). Samsung Knox. Дата обращения: 6 января 2021. Архивировано 9 октября 2025 года.
  10. Peripherals Overview (англ.). Samsung Knox. Дата обращения: 28 июня 2021. Архивировано 7 августа 2024 года.
  11. Knox Asset Intelligence (англ.). Samsung Knox. Дата обращения: 28 июня 2021. Архивировано 9 октября 2025 года.
  12. Samsung Knox Documentation Ecosystem (англ.). docs.samsungknox.com. Дата обращения: 6 января 2021. Архивировано 9 сентября 2025 года.
  13. Samsung Knox Developer Documentation (англ.). docs.samsungknox.com. Дата обращения: 28 июня 2021. Архивировано 18 июня 2025 года.
  14. Samsung Knox Capture (англ.). docs.samsungknox.com. Дата обращения: 28 июня 2021. Архивировано 20 января 2021 года.
  15. Samsung Knox Asset Intelligence (англ.). docs.samsungknox.com. Дата обращения: 28 июня 2021. Архивировано 11 июля 2025 года.
  16. New Samsung Galaxy Note 3 software features explained (англ.). Android Authority (4 сентября 2013). Дата обращения: 7 января 2021. Архивировано 9 января 2021 года.
  17. Chris Ziegler. Samsung Knox: a work phone inside your personal phone (hands-on) (англ.). The Verge (25 февраля 2013). Дата обращения: 7 января 2021. Архивировано 7 декабря 2024 года.
  18. Evaluating top MDMs for Android and iOS (англ.). SearchMobileComputing. Дата обращения: 7 января 2021. Архивировано 20 декабря 2020 года.
  19. Samsung discontinues My Knox, urges users to switch to Secure Folder (англ.). Android Authority (2 июня 2017). Дата обращения: 7 января 2021. Архивировано 24 мая 2025 года.
  20. What's new in Knox 3.4? (англ.). Samsung Knox. Дата обращения: 7 января 2021. Архивировано 9 октября 2025 года.
  21. What is the Secure Folder and how do I use it? (англ.). Samsung uk. Дата обращения: 7 января 2021. Архивировано 27 сентября 2025 года.
  22. How we cracked Samsung's DoD- and NSA-certified Knox (англ.), ZDNet. Архивировано 22 февраля 2024 года.
  23. Samsung RKP. Samsung Knox. Архивировано 8 сентября 2025 года.
  24. What is SE for Android? (англ.). Samsung ph. Дата обращения: 4 января 2021. Архивировано 5 января 2021 года.
  25. Gunnar Alendal; Geir Olav Dyrkolbotn; Stefan Axelsson (2018-03-01). “Forensics acquisition — Analysis and circumvention of samsung secure boot enforced common criteria mode”. Digital Investigation [англ.]. 24: S60—S67. DOI:10.1016/j.diin.2018.01.008. ISSN 1742-2876.
  26. Samsung Enterprise Firmware-over-the-air. docs.samsungknox.com. Архивировано 12 июня 2025 года.
  27. Samsung SSO. Архивировано 26 октября 2021 года.
  28. Samsung CEP (англ.). docs.samsungknox.com. Дата обращения: 15 апреля 2023. Архивировано 17 января 2022 года.
  29. Samsung OTP (англ.). Дата обращения: 15 апреля 2023. Архивировано 15 апреля 2023 года.
  30. Samsung Knox VPN. Архивировано 15 апреля 2023 года.
  31. Disable DEFEX Security to Root Samsung Galaxy Devices on Oreo. The Custom Droid. Архивировано 15 августа 2025 года.
  32. Root of Trust (англ.). docs.samsungknox.com. Дата обращения: 13 ноября 2018. Архивировано 14 ноября 2018 года.
  33. vTZ: Virtualizing ARM TrustZone. Архивировано 28 июня 2025 года.
  34. Peng Ning. About CF-Auto-Root (англ.). Samsung (4 декабря 2013). Архивировано 5 сентября 2015 года.
  35. Just how does Knox warranty void efuse burning work? (англ.). XDA Developers Forums. Дата обращения: 5 января 2021. Архивировано 8 января 2021 года.
  36. Jason Koebler. Companies Can't Legally Void the Warranty for Jailbreaking or Rooting Your Phone, Motherboard (17 августа 2016). Архивировано 20 октября 2017 года. Дата обращения: 27 октября 2018.
  37. Disable Knox on Samsung Galaxy Devices [4 Ways] (англ.). AndroidMore. Дата обращения: 14 декабря 2020. Архивировано 5 января 2021 года.
  38. Samsung DeX (англ.). Samsung India. Дата обращения: 4 января 2021. Архивировано 31 марта 2017 года.
  39. Samsung TIMA Keystores. Архивировано 19 апреля 2025 года.
  40. 1 2 John Ribeiro. NSA approves Samsung Knox devices for government use, PCWorld (21 октября 2014). Архивировано 23 октября 2014 года. Дата обращения: 27 октября 2018.
  41. Michael Mimoso. NSA-Approved Samsung Knox Stores PIN in Cleartext, Threatpost (24 октября 2014). Архивировано 16 февраля 2025 года. Дата обращения: 27 октября 2018.
  42. Conner Forrest. Samsung Knox isn't as secure as you think it is, TechRepublic (31 мая 2016). Архивировано 1 июня 2016 года. Дата обращения: 27 октября 2018.
  43. Introduction (англ.). docs.samsungknox.com. Дата обращения: 13 ноября 2018. Архивировано 1 ноября 2018 года.

Категории

Логотип программы Samsung Knox