папка knox в телефонах самсунг что это
KNOX от Samsung: что это и как работает
В описаниях смартфонов Samsung часто встречается упоминание о поддержке KNOX. Но расширенной информации о том, что же представляет эта функция, продавцы предпочитают не расписывать, ограничиваясь одной строкой. Что такое KNOX – поможет разобраться эта статья.
Что такое KNOX
KNOX – это специализированная надстройка над ОС Android, призванная значительно повысить уровень защиты информации на мобильном устройстве от Samsung. В состав этой системы входит набор расширений, позволяющий создать защищенную среду на платформе от Google. Среди них – специальная изолированная зона для исполнения программ, механизм 256-битного шифрования и средство защищенной загрузки.
Также KNOX от Samsung включает в себя TIMA – API, контролирующее состояние ядра операционной системы и его целостность. Со стороны пользователя надстройка дает возможность контролировать доступ приложений к сетевым ресурсам, посредством защищенного VPN подключения.
Для пользователей, использующих смартфоны Samsung в корпоративном сегменте, этот функционал предоставляет надежный механизм защиты конфиденциальных данных от утечки. Он обладает механизмами защиты по всем основным фронтам, предотвращая сетевой взлом смартфона или планшета, установку шпионского ПО, модификацию ядра системы для создания «закладок», а также элементарного копирования файлов при попадании гаджета в руки злоумышленников.
Как работает KNOX
Комплекс KNOX доступен на смартфонах Samsung, начиная с модели Galaxy S3 и более новых. Теоретически, возможна установка и на другие устройства, но официально этого никто не гарантирует.
Основной элемент KNOX – своего рода виртуальная система Android, находящаяся «внутри» основной ОС. Она создает полностью изолированную программную среду, обладающую собственной зашифрованной файловой системой, доступ к которой без KNOX получить невозможно. Вместе с тем, в Samsung допускают возможность чтения данных, расположенных вне этой оболочки, не покидая ее.
При старте системы механизм защиты целостности архитектуры проверяет ядро ОС на предмет отсутствия несанкционированных вмешательств. Теоретически, это исключает вероятность модификации Android силами третьих лиц, для создания «закладок». Но есть у этого механизма и минус, заключающийся в некорректной работе root-доступа (если таковой требуется владельцу).
После проверки целостности ядра происходит защищенная загрузка KNOX, механизм которой проводит контроль автозапуска. Основное назначение данной функции – предотвращение выполнения задач, на фоновую работу которых пользователь не давал разрешения.
Каждым приложением внутри контейнера KNOX можно управлять, контролируя уровень доступа. Это позволяет избежать случаев, когда программа запрашивает разрешение на использование функций, которые в нем не реализованы.
Поддержка виртуальных частных сетей VPN предоставляет возможность не беспокоиться о том, что ценные корпоративные данные станут предметом утечки при подключении к незащищенным публичным и домашним сетям.
Просто о важном: как Knox защищает данные на смартфонах Samsung
Безопасность мобильных устройств – одна из тех тем, что становятся все актуальнее по мере развития технологий. Если несколько лет назад самой конфиденциальной информацией на обычном смартфоне были личные фотографии, то сегодня ставки намного выше: на гаджетах хранятся и данные банковских карт, и сводки о состоянии здоровья, и даже электронные «ключи» к дверям от квартиры.
Для защиты данных пользователей компания Samsung создала платформу Samsung Knox, которая встраивается в смартфоны, планшеты, носимые устройства и даже бытовую технику на этапе производства. Она состоит из пересекающихся механизмов защиты и обеспечения безопасности, которые помогают оградить информацию пользователя от внешних угроз.
Что же это означает для пользователей на практике?
Безопасность даже на выключенном смартфоне
Злоумышленники не смогут воспользоваться устройством, если гаджет будет потерян или украден. Данные из приложений и сервисов Samsung, таких как Samsung Pay, Samsung Health и Samsung Pass хранятся только в зашифрованном виде. Любые попытки несанкционированного доступа отслеживаются внутренней платформой KNOX, и о них сообщается пользователю.
Чтобы обеспечить необходимый уровень безопасности, система защиты должна быть встроена в устройство на всех уровнях, начиная от микросхем, заканчивая системным ПО и приложениями. Компания полностью контролирует все этапы производства своих устройств, от проектирования отдельных компонентов и схем, до финальной сборки и установки операционной системы, потому пользователи Galaxy могут быть спокойны за сохранность всей информации на девайсе.
Контроль безопасности начинается ещё на этапе загрузки устройства, когда проверяется наличие изменений в ПО телефона и ядре ОС.
Далее, уже во время работы, отдельный компонент, построенный на основе технологии TIMA, в режиме реального времени отслеживает целостностью ядра ОС.
Отдельно стоит отметить механизм защиты от несанкционированного доступа приложений или процессов к данным или ресурсам, которые им иметь не положено. Это достигается за счёт использования механизма Security Extension для Android (SE for Android). Именного благодаря нему приложения вне защищенной папки не имеют доступа к данным внутри нее.
В случае если один из механизмов проверки выявляет какие-то проблемы в безопасности (взлом устройства, несанкционированное получение прав рута и т.д.), смартфон автоматически блокирует определенные области.
Безопасность на всех уровнях
Встроенные в каждое устройство Samsung механизмы обеспечения безопасности гарантируют надежную защиту данных на протяжении всего жизненного цикла смартфона.
Например, Knox защищает финансовую информацию сервиса Samsung Pay, позволяющего оплачивать покупки с помощью смартфона. При обнаружении вредоносного ПО с наличием Root-прав или неофициальной прошивки, Knox блокирует доступ к Samsung Pay, Защищенной папке и контейнеру.
Защищенная папка позволяет хранить личные файлы, изображения и даже приложения в отдельной изолированной области памяти смартфона, что по концепции сравнимо с двумя независимыми телефонами. Пользователь может перемещать данные в защищенную папку и копировать их из нее, а также выбирать тип блокировки для доступа к папке (графический рисунок, пароль, сканер отпечатка пальца или радужки глаза). Если смартфоном пользуются несколько человек, владелец может создать несколько учетных записей и поделиться доступом к определенным приложениям с каждым из пользователей. Даже если устройство попадет в руки злоумышленников и они попытаются совершить хакерскую атаку, папка самоуничтожится.
Samsung Knox защищает и биометрические данные в Samsung Pass – удобном сервисе, предоставляющем безопасный доступ к информации с помощью биометрической идентификации. Функция запоминает ранее введенные пароли на веб-сайтах и при дальнейших посещениях позволяет воспользоваться автозаполнением. Для входа на сайт необходимо пройти верификацию одним из трех способов: сканер радужки глаза, отпечаток пальца или распознавание лица.
Защита оборонного класса
Knox доверяют эксперты по безопасности по всему миру: у этой платформы больше сертификаций от государственных органов, чем у любого другого решения на рынке.
Мобильные устройства Samsung сертифицированы 32 службами безопасности по всему миру, включая Национальное агентство по системам безопасности Франции, Финляндии и Кореи.
Кроме того, платформа получила рейтинг “strong” в 27 из 30 категорий в исследовании Gartner от мая 2019 года.
Knox для корпоративных решений
Концепция «мобильного рабочего места», популярная на Западе, постепенно внедряется и в России. Сотрудники сами определяют, где им удобно работать, но это не избавляет их от ответственности сохранять конфиденциальность корпоративных данных. Именно по этой причине во многих компаниях сотрудникам могут не разрешить работать удаленно и использовать смартфон в качестве платформы для хранения корпоративной информации. Knox предназначена для безопасной работы пользователей с мобильными устройствами, которые могут придерживаться того стиля работы, который им удобен – гаджет будет защищен от несанкционированного доступа и вредоносных атак.
Решение включает в себя:
В разделе “Биометрия и безопасность” вы можете найти пункт “Защищенная папка”.
И также как сейф, он может быть расположен на виду или спрятан так, что, не зная о его существовании, его будет невозможно найти. В настройках “Защищенной папки” можно сделать так, чтобы она была видна в меню приложений, либо убрать ее вовсе. Не зная, что папка существует, вы не получите к ней доступ.
Что мне нравится с защищенной папкой, так это возможность назначить отдельный пароль или пин-код для доступа, они будут отличаться от тех, что вы используете для телефона. И это дополнительный уровень защиты. Но для удобства можно использовать отпечаток пальца, причем вы можете назначить на папку отдельный отпечаток, тогда при распознавании перед вами будет открываться папка. Несколько неправильных попыток, и вас попросят ввести пароль.
Что нам дает защищенная папка? Вы можете переместить в это зашифрованное пространство любые файлы, но также вы можете настроить здесь второй набор приложений, или они могут совсем другими, с иными аккаунтами. В этом защищенном пространстве фактически можно создать второй смартфон, который может совпадать с первым по набору приложений, а может быть совсем иным, выбор за вами. Хотите спрятать банковское приложение? Не вопрос, оно будет доступно только отсюда. Хотите убрать с глаз долой приложение для знакомств? Оно будет ждать своего часа в этой закрытой области.
Приложения, спрятанные в защищенной папке, продолжают работать, общаться с внешним миром. Но в обычном режиме смартфона вы не видите их уведомлений, вам нужно войти в папку. С другой стороны, вы точно знаете, что они есть, если не спрятали саму папку, иконка показывает, что произошли какие-то события.
У меня в защищенной папке хранятся заметки с паролями от разных сервисов, другая важная информация, фотографии устройств, которые еще не анонсированы, но с которыми мы работаем. Корпоративная почта также находится в этой папке. И даже если мой телефон будет потерян, кто-то сможет ухитриться и разблокировать его, информация в защищенной папке останется нетронутой. Вот что такое безопасность на наивысшем уровне и при этом не требующая никаких танцев с бубнами, хитрых схем и постоянного напряжения.
На мой взгляд, прелесть этого решения в том, что оно очень простое для применения на практике, нет никакой необходимости в чем-то сложном, это просто дополнительный вход в отдельное, защищенное пространство вашего смартфона. И технология KNOX обеспечивает защиту этого места. В разных рейтингах безопасности KNOX занимает высшие строчки, на данный момент это самое защищенное решение, что доступно на открытом рынке в массовых продуктах. И при этом KNOX используется множеством корпораций для своих сотрудников, на его основе создаются корпоративные системы.
Многие чувствительные к безопасности решения в смартфонах базируются на системах защиты от KNOX, например, это данные платежной системы Samsung Pay, они шифруются и хранятся в защищенной области. Ровно то же самое относится к вашим отпечаткам пальцев, которые защищает KNOX. В Samsung последовательно улучшают защиту устройств, причем это многоуровневый процесс. Например, в 2019 году для датчиков отпечатков, встроенных в экран, компания изменила алгоритмы. Трехмерные силиконовые слепки пальцев не обманут датчик отпечатка, тем более это не сделают фотографии или отпечатки на скотче. Планомерное усиление системы безопасности связано с тем, что смартфоны должны обеспечивать максимальный уровень защиты данных в хранилище KNOX. И получать высокие оценки в рейтингах невозможно, если какой-то элемент защиты относительно слаб и его можно обойти. Самое главное, что это комплексное решение, которое позволяет расширять функциональность практически до бесконечности, создавать дополнительные приложения и находить ниши, где безопасность важна.
В Galaxy Note10/10+ впервые появились криптокошельки, они также защищены KNOX. Вы можете хранить вашу валюту в таком блокчейн-кошельке, он легко настраивается. Но за кажущейся легкостью скрывается то, что это максимальная защита из возможных. Такой кошелек на компьютере по умолчанию имеет намного меньший уровень защиты, так как вам надо озаботиться самостоятельно тем, как вы будете его защищать. Тут же эту головную боль с вас снимают, максимальный уровень защиты и простота использования.
Dadaviz
Samsung Knox — безопасная среда для личных и корпоративных данных
Современные смартфоны позволяют пользователям не только оставаться на связи, но и фотографировать, обмениваться медиафайлами, делать покупки, иметь доступ к онлайн-банку. И чем больше функций и приложений используется, тем больше конфиденциальных данных хранится в телефоне. Надёжно защитить персональную информацию поможет приложение Samsung Knox.
Samsung Knox: что это такое и как работает
Корпорацией Samsung разработана специальная платформа Knox, реализованная в виде программно-аппаратной надстройки Android. Её цель — защитить пользовательские данные, изолировав их от общей информации в безопасную среду, так называемый контейнер KNOX, который можно сравнить с сейфом. В этот «сейф» пользователь может поместить как приложения, так и любую личную информацию, которую посчитает нужным скрыть от посторонних глаз. Доступ в закрытую область происходит по отдельному паролю, графическому ключу либо отпечатку пальца, поэтому в случае кражи или утери устройства, нашедший его человек не сможет увидеть «секретную» информацию.
Knox — это многоуровневая платформа для реализации защищённого пространства, встроенная в устройства Samsung на аппаратном и программном уровнях
На одном девайсе пользователь может иметь 2 одинаковых приложения: одно — в открытой области (например, Viber для личной переписки), а второе — в защищённой (Viber для деловых контактов). Особенно это актуально для работников организаций, поддерживающих концепцию BYOD (bring your own device — принеси собственное устройство). Суть её в том, что сотрудникам разрешается использовать для работы личные девайсы (ноутбуки, планшеты и смартфоны). Благодаря технологии Knox, персональные и корпоративные данные безопасно хранятся в устройстве на разных уровнях.
«Кнокс» позволяет на одном устройстве создать две области и два главных экрана для изоляции личных и корпоративных данных
Помимо предоставления пользователю зашифрованного хранилища, Samsung Knox осуществляет контроль целостности всех систем устройства, проверяет автоматически запускаемые приложения, выполняет безопасную загрузку операционной системы, защищает от воздействия шпионских программ и вирусов, позволяет дистанционно обнаружить утерянный девайс, заблокировать его либо удалить свои данные. В отличие от программ-антивирусов Knox не занимается обнаружением и удалением зловредителей, он попросту не допускает их проникновения в ОС устройства.
Видео: обзор приложения Samsung Knox
Как включить/отключить приложение
Samsung Knox встроен в большинство устройств с версией Android 4.3 и выше. Если в вашей модели программа отсутствует в списке предустановленных приложений, то скачать её можно в Play Market. В 2017 году на смену старому приложению MyKnox пришло новое — Secure Folder. В обеих версиях «Кнокс» активирован по умолчанию и начинает свою работу вместе с запуском девайса. Если у пользователя возникает необходимость отключить приложение, то сделать это можно несколькими способами. При отсутствии root-прав отключение Knox производится в настройках телефона:
При наличии root-прав у пользователя стандартный метод отключения «Кнокса» может не сработать. В таком случае придётся прибегнуть к помощи стороннего софта. Чаще всего для этих целей используют специальные утилиты.
KNOX Disabler
Это самый простой способ отключить «Кнокс». Всего два действия, с которыми справится любой пользователь:
Android Terminal Emulator
Доступен для скачивания в Google Play.
Titanium Backup
Скачать приложение из магазина Play Market.
Можно ли удалить «Кнокс»?
К сожалению, не на всех мобильных устройствах есть возможность полностью удалить KNOX. Чтобы проверить это, нужно выполнить определённые действия. Для владельцев более ранних моделей Samsung алгоритм будет следующим:
В более новых моделях смартфонов выполнить деинсталляцию можно с помощью предустановленного помощника Smart Manager. Порядок действий будет таков:
Проверка работы
В систему безопасности KNOX встроен гарантийный бит (счётчик). Это одноразовый электронный предохранитель, фиксирующий такие действия, как модернизация кастомными версиями ядра, загрузчика или режима Recovery, а также получение root-прав. Информацию обо всех этих изменениях можно посмотреть при входе в режим загрузки. Для этого на выключенном аппарате нужно набрать и удерживать до появления контекстного меню следующую комбинацию клавиш: Power, Home, «Увеличение громкости». В меню выбрать пункт «Перейти в загрузчик». Небольшой блок с нужной информацией отобразится в левом верхнем углу устройства. Если в строке warranty void будет прописано 0x0, а в System status указано Official, то беспокоиться не о чем, телефон не подвергался несанкционированному вмешательству.
Значение 0x1 появляется на индикаторе после срабатывания предохранителя, а статус Custom говорит о нелицензионной прошивке
Распространённые ошибки и их устранение
В работе приложения Samsung Knox могут возникать периодические сбои.
Чаще всего пользователями сообщается о следующих ошибках:
Если при покупке устройства Samsung на упаковке имеется надпись «Находится под защитой KNOX», значит, владелец девайса может быть уверен в надёжной защите своих данных от доступа третьих лиц. Однако следует помнить, что стабильная работа приложения KNOX возможна лишь при использовании официальных прошивок. Любое несанкционированное вмешательство в систему может привести к сбоям в функционировании не только само́й программы, но и мобильного устройства.
Secured by Knox — механизмы мобильной безопасности Samsung
Если у вас телефон Samsung, то вы, возможно, замечали на экране загрузки фразу «Secured by Knox». Что это вообще значит? Под катом – описание платформы мобильной безопасности, предустановленной на большинстве смартфонов и планшетов Samsung. Это первый русскоязычный обзор того, какие механизмы вообще существуют в решении Knox.
Введение
В 2019 году компания Samsung Electronics отметила 50 лет, а еще этот год отмечен другой круглой датой – 10 лет с момента выпуска первого устройства линейки Galaxy — GT-I7500. Вот так выглядела эта модель:
По сегодняшним меркам телефон имел очень скромные характеристики: экран размером 3.2 дюйма и процессор с тактовой частотой всего в 528 МГц, работал под управлением одной из первых версий ОС Android. Собственно говоря, в 2009 году модель не была уникальной: на рынке были устройства на открытой ОС Android со схожими аппаратными характеристиками на платформе ARM. Было понятно, что для успеха нужна «изюминка», выделяющая компанию из общего ряда.
Несомненно, открытость операционной системы повлияла на успех ОС Android: по оценкам IDC на октябрь 2019 она установлена на 87% проданных смартфонах, и это число продолжает расти. Но и тогда, и сейчас, вопрос безопасности Android – одна из часто обсуждаемых тем.
Samsung представила платформу Knox, как ответ на вызовы в области информационной безопасности мобильных устройств. Первая редакция Knox (старое название «SAFE» или «Samsung for Enterprise») вышла в 2012 году вместе с Galaxy S3.
Последняя на сегодняшний день мажоритарная версия платформы (3.0) была выпущена вместе с Galaxy S9 в 2018. Актуальная версия на момент написания статьи — 3.4. Название Knox происходит от Форт-Нокса – одного из самых защищенных хранилищ золотых запасов в мире.
Что же такое Knox? Сейчас под этим названием (или уже правильнее брендом) понимается всё, что связано в Samsung с мобильной безопасностью. Сюда относят менеджер паролей Samsung Pass, Защищённая папка, платёжный сервис Samsung Pay, и целое семейство корпоративных решений, но в основе этого лежит платформа Knox.
Важной особенностью платформы Samsung Knox является то, что она базируется на аппаратных механизмах. Компания Samsung, как производитель в том числе и аппаратных компонентов, может контролировать весь процесс производства, сборки и конфигурации устройства, и, следовательно, проектировать механизмы безопасности, основанные на аппаратных возможностях.
Сюда включаются следующие принципы:
Платформа Knox решает и эту задачу:
Построение доверенной среды
Перед тем, как углубиться в рассмотрение отдельных механизмов, нужно пару слов сказать об основе всех аппаратных механизмов защиты платформы Knox – архитектуре TrustZone-based Integrity Measurement Architecture (TIMA). Она базируется на ARM TrustZone Framework.
В парадигме TrustZone существует 2 «мира» (области):
Источник: www.arm.com
Функционал телефона делится между этими двумя областями следующим образом:
Аппаратный корень доверия
Уже в момент производства на заводе, во время установки программного обеспечения (ПО), на мобильном устройстве создаются криптографические ключи. Рассмотрим 2 основных ключа:
Производство устройств на фабрике Samsung Electronics, г. Гуми, Южная Корея
Загрузка устройства
Безопасная загрузка (Secure Boot)
Процесс загрузки устройства состоит из цепочки загрузчиков, каждый из которых проверяет подпись следующего компонента, после чего запускает его. Если проверка не проходит, процесс загрузки прерывается. Данный механизм называется Secure Boot, в своей работе он использует Samsung Secure Boot Key (SSBK) – асимметричную пару ключей в аппаратном хранилище.
Secure Boot гарантирует загрузку устройства только с помощью доверенных загрузчиков Samsung. Если один из загрузчиков скомпрометирован, то запуск устройства прерывается, предотвращая потенциальную компрометацию устройства.
Доверенная загрузка (Trusted Boot)
Secure Boot путем проверки подписи решает проблему сторонних загрузчиков, но не решает проблему старых, неактуальных версий, потенциально несущих в себе ряд известных уязвимостей. Поэтому разработан механизм доверенной загрузки Trusted Boot, работающий поверх Secure Boot. Он проверяет актуальность версии загрузчика. Результаты проверки записываются в защищённую память в TrustZone Secure World и могут быть использованы для будущих проверок.
Knox Verified Boot (KVB)
В момент начала загрузки ОС активируется ещё один механизм, называемый Knox Verified Boot. KVB – расширение механизма Android Verified Boot (AVB). Помимо стандартных метрик, контролируемых AVB, KVB также учитывает результаты, полученные Trusted Boot и Secure Boot (т.е. целостность загрузчиков и их актуальность). За счёт выполнения всех операций KVB в загрузчике, данная проверка является надёжной и безопасной (процедура осуществляется вне проверяемого объекта).
Компонент Knox Verified Boot является достаточно новым и поддерживается устройствами, начиная с Samsung S10, работающих под управлением операционной системы Android P или более поздних версий.
Графически процесс загрузки устройства, защищённого механизмами Knox можно представить следующим образом:
Аппаратный флаг Knox Warranty Bit
Knox Warranty Bit — функция безопасности, позволяющая зафиксировать факт установки неофициальной версии системного программного обеспечения на устройство. Устройства со сработавшим Warranty Bit не могут использовать некоторый функционал, например, Knox Workspace. Флаг не может быть возвращён в исходное состояние. Он гарантирует, что устройство Samsung ранее запускалось только с доверенной ОС.
Рис. Слева кастомная прошивка, KNOX WARRANTY VOID 0x1
Аппаратная блокировка возврата к старым версиям ПО (Rollback Prevention)
Старые версии загрузочных компонентов могут содержать уязвимости. Rollback prevention – функция, блокирующая возврат на более старую версию ОС. Минимальная версия загрузчика, возможная для прошивки, хранится в защищённой области. Минимальная возможная версия ядра ОС хранится в самом загрузчике. При штатном обновлении системы, минимально допустимые версии загрузчика и ОС повышаются. Вернуться на предыдущую или более раннюю версию невозможно.
Вернуться с Android P на Android O невозможно.
Контроль целостности доверенной среды
После запуска целостность системы нужно регулярно проверять. Для этого в Knox существует несколько механизмов.
Компонент Periodic Kernel Measurement (PKM)
Компонент Real-time Kernel Protection (RKP)
Trusted Boot защищает от загрузки измененного ядра, но ядро может быть подвергнуто атаке во время работы устройства. Необходим постоянный мониторинг целостности кода и критичных данных. RKP – это мониторинг безопасности, расположенный в изолированной среде – либо в ARM TrustZone Secure World, либо в «тонком» гипервизоре, защищенном аппаратными расширениями виртуализации.
RKP использует специальные методы, чтобы контролировать управление памятью в Normal World, перехватывать критичные запросы и оценить их влияние до того, как произойдёт их выполнение. Механизм защиты ядра в реальном времени дополняет периодические проверки целостности ядра (PKM).
Таким образом, Real-Time Kernel Protection – это гарантия защиты от выполнения вредоносного кода на уровне ядра ОС.
Проверка целостности доверенной среды
Мобильные устройства не работают изолированно, обычно они являются частью какой-то более масштабной системы, например, являются клиентами сервера, вычислительными узлами и пр. И чтобы система могла стабильно и безопасно работать, она должна быть уверена, что все её компоненты «здоровы» и являются теми, за кого себя выдают. Это достаточно непростая задача, в рамках платформы Knox она решается с помощью механизма удалённой аттестации.
Удалённая аттестация устройства (Knox Attestation)
Аттестационное сообщение формируется в ARM TrustZone Secure World. Оно является корректным, даже если ОС в Normal World скомпрометирована.
Помимо проверки отдельных параметров, аттестация также оценивает состояние системы в целом. Только когда измерения, собранные Trusted Boot соответствуют эталонным значениям, и значение Knox Warranty Bit не изменено, аттестация считается пройденной.
Аттестационное сообщение не может быть подделано, так как оно подписано с использованием ключа аттестации Samsung Attestation Key (SAK), производного от корневого ключа Samsung. Удалённый сервер может проверить целостность сообщения, используя корневой ключ Samsung. Подпись содержит сгенерированную на серверной стороне криптографическую «добавку» (случайное число, используемое только один раз), чтобы не дать атакующему возможность использовать старое корректное аттестационное сообщение на уже скомпрометированном устройстве.
Сторонняя система может принять решение о дальнейших действиях на основе результатов аттестации в зависимости от политик безопасности. Например, можно отключиться от устройства, стереть контент в защищенной рабочей области, запросить местоположение устройства и выполнить многие другие действия.
Защита данных
Данные являются основной ценностью мобильного устройства и требуют отдельных механизмов защиты.
Шифрование внутреннего хранилища
Полное шифрование внутренней памяти является обязательным требованием для всех устройств на базе ОС Android с версии 7. Knox развивает данную концепцию, храня ключ в защищённом аппаратном ключевом хранилище.
Система Security Enhancements (SE) for Android
Samsung Knox использует расширение безопасности для Android (Security Enhancement for Android, SE for Android), которое добавляет механизм принудительного (мандатного) контроля доступа Mandatory Access Control (MAC) в ОС.
SE для Android предоставляет два уровня защиты MAC:
Контейнеризация Knox
Одним из частных случаев применения механизма SE for Android является контейнер Knox.
Контейнер разделяет приложения и данные на два независимых пространства: обычную и защищённую области. Данные защищённой области хранятся во внутренней памяти в зашифрованном виде. Ключи шифрования, в свою очередь, шифруются с помощью DUHK-ключа, т.е. они привязаны к конкретному устройству. В случае компрометации устройства (срабатывание Knox Warranty Bit, Trusted Boot и пр.) доступ к контейнеру блокируется.
Важно отметить, что приложения, установленные в контейнер, работают, по сути, в обычном окружении. Как следствие, приложение, написанное под Android, работает в контейнере без каких-либо адаптаций и изменений исходного кода.
Технология контейнеризации используется в нескольких продуктах Samsung, таких как Secure Folder и Knox Workspace.
Возможности для корпоративных пользователей
Все выше обозначенные механизмы приобретают особое значение при использовании мобильных устройств в корпоративной среде. Этот вопрос заслуживает отдельного рассмотрения, поэтому здесь мы ограничимся картинкой:
Дополнительные источники по теме:
Автор: Владимир Карачаров,
Manager, B2B Pre/Post Sales
Business Development Team
Samsung R&D Institute Russia