Samsung Knox

Samsung Knox
ТипСистема безпеки
РозробникSamsung Group
Перший випускберезня 2013
Стабільний випуск3.9[1] (31 жовтня 2022)
Операційна системаAndroid та Tizen
ЛіцензіяВласницька
Вебсайтsamsungknox.com

Samsung Knox — це власницький програмний фреймворк, що надає функції безпеки та керування, що попередньо встановлювана на більшості пристроїв Samsung[2]. Використовується для реалізації зашифрованого безпечного простору для захисту особистої та корпоративної інформації. Назва «‎Samsung Knox» походить від назви «Fort Knox», що вважається одним з найбільш захищених військових баз у світі.[3]

Огляд

Samsung Knox має апаратні та програмні функції захисту, які надають можливості співіснувати корпоративному та особистому контенту на одному пристрої. Knox інтегрує вебсервіси, щоб допомоги організаціям в керуванні мобільними пристроями, що дозволяє системним адміністраторам реєструвати нові пристрої, ідентифікувати систему Unified Endpoint Management (UEM), визначати організаційні правила, які регулюють використання пристроїв та оновлювати прошивки пристроїв «по повітрю»[4]. Розробники можуть інтегрувати ці функції зі своїми додатками за допомогою Knox SDK і REST API[5].

Сервіси

Samsung Knox надає наступні вебсервіси для організацій:

  • Для керування мобільними пристроями: Knox Suite, Knox Platform for Enterprise, Knox Mobile Enrollment, Knox Manage та Knox E-FOTA[4]
  • Для налаштування та ребрендингу пристроїв: Knox Configure[6]
  • Для збору та аналізу даних: Knox Capture[7], Knox Peripheral Management[7], Knox Asset Intelligence[8]

Більшість служб реєструються та отримують доступ через вебконсолі Samsung Knox[9], а деякі — через Samsung Knox SDK[10].

Knox Capture

Knox Capture використовує камеру мобільного пристрою Samsung для захоплення всіх основних символів штрих-коду, таких як UPC, Code 39, EAN та QR. За допомогою вебконсолі системні адміністратори можуть керувати введенням, форматуванням і конфігурацією виводу просканованих даних штрих-коду, а також пов'язувати додаток пристрою (наприклад, інтернет-браузер для QR-даних).[11]

Knox Asset Intelligence

Knox Asset Intelligence допомагає організаціям покращити керування, продуктивність та життєвий цикл мобільних пристроїв. За допомогою вебконсолі системні адміністратори можуть контролювати стан акумулятора пристрою, інформацію про використання додатків, комплексне відстеження пристроїв та детальну аналітику Wi-Fi.[11]

Програмна частина

Контейнер

Коли Samsung Knox дебютував з Samsung Galaxy S III 2013 року, він включав власну функцію контейнера, яка зберігала чутливі до безпеки програми та дані в захищеному середовищі виконання[12]. Користувачі пристроїв могли перемикатися між особистими та бізнес-додатками, натискаючи піктограму Knox у нижньому лівому куті екрана пристрою[13]. Власний контейнер, пізніше названий Knox Workspace, управлявся організаціями через систему UEM[14].

Потім Samsung випустила споживчі версії функції контейнера, для управління якими не потрібна система UEM. Ці споживчі версії включали Personal Knox, пізніше названий My Knox, починаючи з 2014 року. My Knox був замінений на Secure Folder 2017 року.[15]

2018 року Samsung співпрацював з Google, щоб використовувати свій робочий профіль Android для захисту програм та даних, а 2019 року застарів контейнер Knox Workspace[16]. Samsung продовжує попередньо встановлювати Secure Folder на більшості флагманських мобільних пристроїв, але користувачі повинні увімкнути її для використання.[17]

Samsung Real-Time Kernel Protection (RKP)

Samsung RKP відстежує зміни ядра в режимі реального часу. Ця функція є аналогом Android dm-verity/AVB і вимагає підписаного завантажувача.[18]

Посилення безпеки для Android

Хоча телефони Android вже захищені від шкідливого коду або експлойтів за допомогою SE для Android та інших функцій, Samsung Knox надає періодичні оновлення, які перевіряють наявність виправлень для подальшого захисту системи.[19]

Захищений запуск

Під час безпечного завантаження Samsung запускає середовище попереднього завантаження, щоб перевірити збіг підписів на всіх елементах операційної системи (ОС) перед завантаженням в основне ядро. При виявленні несанкціонованої зміни спрацьовує електронний запобіжник і статус системи змінюється з «Офіційна» на «Неофіційна»[20].

Інші функції

Деякі інші функції, які полегшують корпоративне використання, включені в Samsung Knox, в тому числі: Samsung KMS (SKMS) для служб eSE NFC, Керування мобільними пристроями[en] (MDM), управління сертифікатами Knox (CEP)[21], Single sign-on (SSO)[22], управління PIN-кодом SIM-карти, оновлення прошивки по повітрю (FOTA)[23] і віртуальна приватна мережа (VPN)[24].

Після виходу Android Oreo компанія Samsung виправила ядро, щоб запобігти наданню root-доступу до додатків навіть після успішного вкорінення. Цей патч запобігає зміні системи несанкціонованими програмами та перешкоджає в отримані root-прав.[25]

Апаратна частина

Samsung Galaxy S10e з root правами та eFuse запобіжником, що спрацював.

Knox містить в собі апаратні засоби захисту, такі як ARM TrustZone (технологія, подібна TPM) та eFuse[en]. Knox Verified Boot відстежує та захищає телефон під час запуску, а також захищає його на апаратному рівні (введена в Knox 3.3)[26].

eFuse

На пристроях Samsung, Knox використовує[27] eFuse, який фіксує, чи була в системі несанкціоновані зміни. Якщо Knox виявляє, що на пристрій встановлено сторонній завантажувач, ядро або користувач отримав root права, відбувається зміна одноразового програмованого «гарантійного біта», що можна порівняти з перегорілим запобіжником. Після цього вже неможливо сплачувати покупки через Samsung Pay, створювати безпечне середовище або отримувати доступ до даних, раніше збережених у ньому. Цю інформацію може використовувати компанія Samsung для відмови в гарантійному обслуговуванні пристрою[28]. На деяких пристроях можливо деактивувати лічильник, застосувавши до пристрою заводську прошивку[29].

Samsung DeX

В Knox 3.3 були додані опції для керування Samsung DeX[en], щоб дозволити чи обмежити доступ за допомогою Knox, для додаткового контролю та безпеки.[30]

Samsung Knox TIMA

Архітектура вимірювання цілісності (TIMA) на основі TrustZone від Knox дозволяє зберігати ключі в контейнері для підписання сертифікатів з використанням апаратної платформи TrustZone.[31]

Безпека

У червні 2014 року до переліку схвалених Агентством оборонних інформаційних систем[en] (DISA) продуктів для чутливого, але несекретного використання увійшли п'ять пристроїв Samsung.[32]

У жовтні 2014 року дослідник безпеки виявив, що Samsung Knox зберігає PIN-коди у вигляді простого тексту, замість того, щоб зберігати солоні та хешовані PIN-коди.[33]

У жовтні 2014 року Агентство національної безпеки США (АНБ) схвалило пристрої Samsung Galaxy для використання в програмі швидкого розгортання комерційно доступних технологій. Схвалені продукти включають Samsung Galaxy S4, Galaxy S5, Galaxy S6, Galaxy S7, Galaxy Note 3 і Galaxy Note 10.1 2014 р..[32]

У травні 2016 року ізраїльські дослідники Урі Канонов та Авішай Вул знайшли три уразливості в певних версіях Knox.[34]

У грудні 2017 року Knox отримав «сильні» рейтинги у 25 з 28 категорій в публікації Gartner, що порівнює захищеність пристроїв на різних платформах.[35]

Військова галузь

Samsung створила спеціальну версію смартфона Samsung Galaxy S20 Tactical Edition для потреб армії. Пристрій має корпус «джаггернаут» та підтримку Samsung Knox.[36]

Примітки

  1. What's new in Knox 3.9. www.samsungknox.com (Англійська) .
  2. Принципи функціонування системи безпеки Samsung Knox. Samsung ua. Процитовано 23 вересня 2022. Технологія безпеки Knox глибоко інтегрована в наші продукти
  3. Что такое Knox и как он защищает ваши данные. Samsung ru (російська) . Процитовано 23 вересня 2022. Назва платформи Knox походить від американської військової бази Форт-Нокс, де з 1936 року зберігається один з найбільших золотих запасів США. (Название платформы Knox происходит от американской военной базы Форт-Нокс, где с 1936 года хранится один из крупнейших золотых запасов США. ) {{cite web}}: символ зміни рядка в |quote= на позиції 142 (довідка)
  4. а б Knox for Enterprise Mobility. Samsung Knox (англ.). Процитовано 25 вересня 2022.
  5. Knox Developer Documentation. docs.samsungknox.com. Процитовано 25 вересня 2022.
  6. Knox for Device Customization. Samsung Knox (англ.). Процитовано 30 вересня 2022.
  7. а б Knox Capture. Samsung Knox (англ.). Процитовано 30 вересня 2022.
  8. Knox Asset Intelligence Smart device inventory management. Samsung Knox (англ.). Процитовано 30 вересня 2022.
  9. Samsung Knox Documentation Ecosystem. docs.samsungknox.com. Процитовано 30 вересня 2022.
  10. Welcome to the Knox SDK. docs.samsungknox.com. Процитовано 30 вересня 2022.
  11. а б Knox Asset Intelligence. docs.samsungknox.com. Процитовано 30 вересня 2022.
  12. New Samsung Galaxy Note 3 software features explained. Android Authority (англ.). 4 вересня 2013. Архів оригіналу за 9 січня 2021. Процитовано 30 вересня 2022. [Архівовано 2021-01-09 у Wayback Machine.]
  13. Ziegler, Chris (25 лютого 2013). Samsung Knox: a work phone inside your personal phone (hands-on). The Verge (амер.). Процитовано 30 вересня 2022.
  14. Evaluating top MDMs for Android and iOS. SearchMobileComputing (англ.). Процитовано 30 вересня 2022.
  15. Samsung discontinues My Knox, urges users to switch to Secure Folder. Android Authority (англ.). 2 червня 2017. Процитовано 30 вересня 2022.
  16. What's new in Knox 3.4?. Samsung Knox (англ.). Процитовано 30 вересня 2022.
  17. What is the Secure Folder and how do I use it?. Samsung uk (брит.). Процитовано 30 вересня 2022.
  18. Real-time Kernel Protection (RKP). Samsung Knox (англ.). Процитовано 1 жовтня 2022.
  19. What is SE for Android? Samsung Support Philippines. Samsung ph (en-PH) . Процитовано 1 жовтня 2022.
  20. Alendal, Gunnar; Dyrkolbotn, Geir Olav; Axelsson, Stefan (1 березня 2018). Forensics acquisition — Analysis and circumvention of samsung secure boot enforced common criteria mode. Digital Investigation (англ.). Т. 24. с. S60—S67. doi:10.1016/j.diin.2018.01.008. ISSN 1742-2876. Процитовано 1 жовтня 2022.
  21. Knox Platform for Enterprise. web.archive.org. 29 січня 2022. Архів оригіналу за 29 січня 2022. Процитовано 1 жовтня 2022.
  22. Improved Single Sign-On (SSO) in Samsung Knox. Samsung Knox (англ.). Процитовано 1 жовтня 2022.
  23. Knox E-FOTA. docs.samsungknox.com. Процитовано 1 жовтня 2022.
  24. Virtual Private Networks Knox Platform for Enterprise White Paper. docs.samsungknox.com. Процитовано 1 жовтня 2022.
  25. Disable DEFEX Security to Root Samsung Galaxy Devices on Oreo (Guide). www.thecustomdroid.com (амер.). 13 жовтня 2018. Процитовано 1 жовтня 2022.
  26. https://www.usenix.org/system/files/conference/usenixsecurity17/sec17-hua.pdf
  27. What is a Knox Warranty Bit and how is it triggered?. docs.samsungknox.com. Процитовано 25 вересня 2022.
  28. Just how does Knox warranty void efuse burning work?. XDA Forums (амер.). Процитовано 25 вересня 2022.
  29. Disable Knox on Samsung Galaxy Devices [4 Ways] Android More. web.archive.org. 5 січня 2021. Архів оригіналу за 5 січня 2021. Процитовано 25 вересня 2022.
  30. Samsung DeX Apps & Services Samsung TEST. Samsung India (en-IN) . Процитовано 26 вересня 2022.
  31. TIMA Keystore. docs.samsungknox.com. Процитовано 25 вересня 2022.
  32. а б NSA approves Samsung Knox devices for government use. PCWorld (англ.). Процитовано 25 вересня 2022.
  33. NSA-Approved Samsung Knox Stores PIN in Cleartext. threatpost.com (англ.). Процитовано 26 вересня 2022.
  34. Samsung Knox isn't as secure as you think it is. TechRepublic (амер.). 31 травня 2016. Процитовано 25 вересня 2022.
  35. Samsung Knox White Paper. docs.samsungknox.com. Процитовано 25 вересня 2022.
  36. Карпусь, Вадим. Samsung создала специальную версию смартфона Galaxy S20 Tactical Edition для нужд армии. ITC.ua (російська) . Процитовано 30 вересня 2022.

 

Index: pl ar de en es fr it arz nl ja pt ceb sv uk vi war zh ru af ast az bg zh-min-nan bn be ca cs cy da et el eo eu fa gl ko hi hr id he ka la lv lt hu mk ms min no nn ce uz kk ro simple sk sl sr sh fi ta tt th tg azb tr ur zh-yue hy my ace als am an hyw ban bjn map-bms ba be-tarask bcl bpy bar bs br cv nv eml hif fo fy ga gd gu hak ha hsb io ig ilo ia ie os is jv kn ht ku ckb ky mrj lb lij li lmo mai mg ml zh-classical mr xmf mzn cdo mn nap new ne frr oc mhr or as pa pnb ps pms nds crh qu sa sah sco sq scn si sd szl su sw tl shn te bug vec vo wa wuu yi yo diq bat-smg zu lad kbd ang smn ab roa-rup frp arc gn av ay bh bi bo bxr cbk-zam co za dag ary se pdc dv dsb myv ext fur gv gag inh ki glk gan guw xal haw rw kbp pam csb kw km kv koi kg gom ks gcr lo lbe ltg lez nia ln jbo lg mt mi tw mwl mdf mnw nqo fj nah na nds-nl nrm nov om pi pag pap pfl pcd krc kaa ksh rm rue sm sat sc trv stq nso sn cu so srn kab roa-tara tet tpi to chr tum tk tyv udm ug vep fiu-vro vls wo xh zea ty ak bm ch ny ee ff got iu ik kl mad cr pih ami pwn pnt dz rmy rn sg st tn ss ti din chy ts kcg ve
Prefix: a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9

Portal di Ensiklopedia Dunia

Portal : Agama
Agama
Portal : Bahasa
Bahasa
Portal : Biografi
Biografi
Portal : Budaya
Budaya
Portal : Ekonomi
Ekonomi
Portal : Elektronika
Elektronika
Portal : Film
Film
Portal : Filsafat
Filsafat
Portal : Geografi
Geografi
Portal : Indonesia
Indonesia
Portal : Ilmu
Ilmu
Portal : Lingkungan
Lingkungan
Portal : Masyarakat
Masyarakat
Portal : Matematika
Matematika
Portal : Militer
Militer
Portal : Mitologi
Mitologi
Portal : Musik
Musik
Portal : Olahraga
Olahraga
Portal : Pendidikan
Pendidikan
Portal : Politik
Politik
Portal : Sastra
Sastra
Portal : Sejarah
Sejarah
Portal : Seni
Seni
Portal : Teknologi
Teknologi