Разработчики) | Группа Самсунг |
---|---|
Начальная версия | Март 2013 г. |
Стабильный выпуск | 3.8 / 23 ноября 2021 г . [1] |
Операционная система | Android и Tizen |
Веб-сайт | www |
Samsung Knox - это проприетарная среда безопасности и управления, предустановленная на большинстве мобильных устройств Samsung . Его основная цель - предоставить организациям набор инструментов для управления рабочими устройствами, такими как мобильные телефоны сотрудников или интерактивные киоски . [2] Knox обеспечивает более детальный контроль над стандартным рабочим профилем для управления возможностями, доступными только на устройствах Samsung. [3]
Возможности Knox делятся на три категории: безопасность данных, управляемость устройствами и возможности VPN . [4] Knox также предоставляет организациям веб-службы для управления своими устройствами. Организации могут настраивать свои управляемые мобильные устройства, настраивая различные функции, включая предварительно загруженные приложения, настройки, анимацию загрузки, домашние экраны и экраны блокировки . [5]
С декабря 2020 года организации могут использовать определенные камеры мобильных устройств Samsung в качестве сканеров штрих-кода , используя сервисы Knox для сбора и анализа данных. [6]
Samsung Knox предоставляет аппаратные и программные функции безопасности, которые позволяют сосуществовать бизнес-контенту и личному контенту на одном устройстве. Knox интегрирует веб-сервисы, чтобы помочь организациям управлять парком мобильных устройств, что позволяет ИТ- администраторам регистрировать новые устройства, определять систему Unified Endpoint Management (UEM), [7] определять организационные правила, регулирующие использование устройств, и обновлять устройство. прошивка по воздуху. [8] Разработчики могут интегрировать эти функции со своими приложениями с помощью Knox SDK и REST API . [9]
Samsung Knox предоставляет организациям следующие веб-службы:
Большинство сервисов регистрируются и доступны через веб-консоли Samsung Knox [14], а к некоторым доступ осуществляется через Samsung Knox SDK. [15]
Knox Capture использует камеру мобильного устройства Samsung для захвата всех основных символов штрих-кода, таких как UPC, Code 39, EAN и QR. С помощью веб-консоли ИТ-администраторы могут управлять конфигурацией ввода, форматирования и вывода отсканированных данных штрих-кода, а также связывать приложение устройства (например, Интернет-браузер для данных QR). [16]
Knox Asset Intelligence помогает организациям улучшить управление, производительность и жизненный цикл мобильных устройств. С помощью веб-консоли ИТ-администраторы могут отслеживать управление батареей устройства, анализ использования приложений, всестороннее отслеживание устройств и подробную аналитику Wi-Fi. [17]
Когда Samsung Knox дебютировал с Galaxy S3 в 2013 году, он включал в себя проприетарную контейнерную функцию, которая хранила чувствительные к безопасности приложения и данные в защищенной среде выполнения. [18] Пользователи устройства могли переключаться между личными и бизнес-приложениями, нажав значок Knox в нижнем левом углу экрана устройства. [19] Проприетарный контейнер, позже названный Knox Workspace, управлялся организациями через систему UEM. [20]
Затем Samsung выделила потребительские версии функции контейнера, для управления которыми не требовалась система UEM. Эти потребительские версии включали Personal Knox, позже названный My Knox, начиная с 2014 года. My Knox был заменен на Secure Folder в 2017 году [21].
В 2018 году Samsung заключил партнерское соглашение с Google, чтобы использовать свой рабочий профиль Android для защиты приложений и данных, а в 2019 году отказался от контейнера Knox Workspace. [22] Samsung продолжает предустановку Secure Folder на большинстве флагманских мобильных устройств, но потребители должны включить ее для использования. [23]
Функция Samsung RKP отслеживает изменения ядра в режиме реального времени и предотвращает загрузку телефона, а также отображает предупреждающее сообщение об использовании «незащищенных» устройств Samsung. [24] Эта функция аналогична Android dm-verity / AVB и требует подписанного загрузчика . [25]
Хотя телефоны Android уже защищены от вредоносного кода или эксплойтов с помощью SE для Android и других функций, Samsung Knox предоставляет периодические обновления, которые проверяют наличие исправлений для дальнейшей защиты системы. [26]
Во время безопасной загрузки Samsung запускает среду предварительной загрузки, чтобы проверить соответствие подписи на всех элементах операционной системы (ОС) перед загрузкой в основное ядро. Если обнаруживается несанкционированное изменение, срабатывает предохранитель, и статус системы меняется с «Официальный» на «Пользовательский». [27]
В Samsung Knox встроено несколько других функций, которые упрощают использование на предприятии, в том числе Samsung KMS (SKMS) для служб eSE NFC, управление мобильными устройствами (MDM), управление сертификатами Knox (CEP), единый вход (SSO) , одноразовый пароль ( OTP), управление PIN -кодом SIM-карты, беспроводное микропрограммное обеспечение (FOTA) [28] и виртуальная частная сеть (VPN). [29] [30] [31] [32]
Samsung внесла исправления в ядро, чтобы запретить предоставление корневого доступа приложениям даже после успешного рутирования с момента выпуска Android Oreo . Этот патч предотвращает изменение системы неавторизованными приложениями и препятствует рутированию. [33]
Knox включает встроенные аппаратные функции безопасности ARM TrustZone (технология, аналогичная TPM ) и ПЗУ загрузчика . [34] Knox Verified Boot отслеживает и защищает телефон во время процесса загрузки, а также обеспечивает безопасность Knox на аппаратном уровне (представленная в Knox 3.3). [35]
В устройствах Samsung Knox используется электронный предохранитель, чтобы указать, был ли когда-либо запущен «ненадежный» (не Samsung) загрузочный путь. Электронный предохранитель будет установлен, если устройство загружается с использованием не подписанного Samsung загрузчика, ядра, сценария инициализации ядра или данных. Когда установлено, появляется текст «Установить бит гарантии: <причина>». При рутировании устройства или прошивке версии Android, отличной от Samsung, также устанавливается e-fuse. После установки электронного предохранителя устройство больше не может создавать контейнер Knox Workspace или получать доступ к данным, ранее сохраненным в существующем рабочем пространстве Knox. [36] В США эта информация может быть использована Samsung для отказа в гарантийном обслуживании устройств, которые были модифицированы таким образом. [37] Подобное аннулирование потребительских гарантий может быть запрещеноЗакон Магнусона – Мосса о гарантии 1975 года, по крайней мере, в тех случаях, когда проблема телефона не связана напрямую с рутированием. [38] Помимо аннулирования гарантии, срабатывание предохранителя также препятствует запуску некоторых приложений Samsung, таких как Secure Folder, Samsung Pay , Samsung Health и секретный режим браузера Samsung . Для некоторых более старых версий Knox возможно очистить электронный предохранитель, установив специальную прошивку. [39]
Опции для управления Samsung DeX были добавлены в Knox 3.3, чтобы разрешить или ограничить доступ с помощью платформы Knox для дополнительного контроля и безопасности. [40]
Архитектура измерения целостности (TIMA) Knox на основе TrustZone позволяет хранить ключи в контейнере для подписи сертификатов с использованием аппаратной платформы TrustZone. [41]
В июне 2014 года список продуктов, одобренных Агентством оборонных информационных систем (DISA) для конфиденциального, но несекретного использования, включал пять устройств Samsung. [42]
В октябре 2014 года исследователь безопасности обнаружил, что Samsung Knox хранит PIN-коды в виде простого текста, а не хранит соленые и хешированные PIN-коды и обрабатывает их с помощью скрытого кода . [43]
В октябре 2014 года Агентство национальной безопасности США (АНБ) одобрило устройства Samsung Galaxy для использования в программе быстрого развертывания коммерчески доступных технологий. К утвержденным продуктам относятся Galaxy S4 , Galaxy S5 , Galaxy S6 , Galaxy S7 , Galaxy Note 3 и Galaxy Note 10.1 2014 . [42]
В мае 2016 года израильские исследователи Ури Канонов и Авишай Вул обнаружили три уязвимости в конкретных версиях Knox. [44]
В декабре 2017 года компания Knox получила «сильные» оценки в 25 из 28 категорий в публикации Gartner , в которой сравнивается уровень безопасности устройств на различных платформах. [45]
Единственная цель этого действия по сжиганию предохранителей - запомнить, что на устройство были загружены ядро или критические сценарии инициализации или данные, которые не находятся под контролем Samsung.
После того, как бит электронного предохранителя сгорел, устройство Samsung с поддержкой KNOX больше не может создавать контейнер KNOX или получать доступ к данным, ранее сохраненным в существующем контейнере KNOX.