Samsung Knox

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку
Samsung Knox
Тип Система безпеки
Розробник Samsung Group
Перший випуск березня 2013
Стабільний випуск 3.9[1] (31 жовтня 2022)
Операційна система Android та Tizen
Ліцензія Власницька
Вебсайт samsungknox.com

Samsung Knox — це власницький програмний фреймворк, що надає функції безпеки та керування, що попередньо встановлювана на більшості пристроїв Samsung[2]. Використовується для реалізації зашифрованого безпечного простору для захисту особистої та корпоративної інформації. Назва «‎Samsung Knox» походить від назви «Fort Knox», що вважається одним з найбільш захищених військових баз у світі.[3]

Огляд[ред. | ред. код]

Samsung Knox має апаратні та програмні функції захисту, які надають можливості співіснувати корпоративному та особистому контенту на одному пристрої. Knox інтегрує вебсервіси, щоб допомоги організаціям в керуванні мобільними пристроями, що дозволяє системним адміністраторам реєструвати нові пристрої, ідентифікувати систему Unified Endpoint Management (UEM), визначати організаційні правила, які регулюють використання пристроїв та оновлювати прошивки пристроїв «по повітрю»[4]. Розробники можуть інтегрувати ці функції зі своїми додатками за допомогою Knox SDK і REST API[5].

Сервіси[ред. | ред. код]

Samsung Knox надає наступні вебсервіси для організацій:

  • Для керування мобільними пристроями: Knox Suite, Knox Platform for Enterprise, Knox Mobile Enrollment, Knox Manage та Knox E-FOTA[4]
  • Для налаштування та ребрендингу пристроїв: Knox Configure[6]
  • Для збору та аналізу даних: Knox Capture[7], Knox Peripheral Management[7], Knox Asset Intelligence[8]

Більшість служб реєструються та отримують доступ через вебконсолі Samsung Knox[9], а деякі — через Samsung Knox SDK[10].

Knox Capture[ред. | ред. код]

Knox Capture використовує камеру мобільного пристрою Samsung для захоплення всіх основних символів штрих-коду, таких як UPC, Code 39, EAN та QR. За допомогою вебконсолі системні адміністратори можуть керувати введенням, форматуванням і конфігурацією виводу просканованих даних штрих-коду, а також пов'язувати додаток пристрою (наприклад, інтернет-браузер для QR-даних).[11]

Knox Asset Intelligence[ред. | ред. код]

Knox Asset Intelligence допомагає організаціям покращити керування, продуктивність та життєвий цикл мобільних пристроїв. За допомогою вебконсолі системні адміністратори можуть контролювати стан акумулятора пристрою, інформацію про використання додатків, комплексне відстеження пристроїв та детальну аналітику Wi-Fi.[11]

Програмна частина[ред. | ред. код]

Контейнер[ред. | ред. код]

Коли Samsung Knox дебютував з Samsung Galaxy S III 2013 року, він включав власну функцію контейнера, яка зберігала чутливі до безпеки програми та дані в захищеному середовищі виконання[12]. Користувачі пристроїв могли перемикатися між особистими та бізнес-додатками, натискаючи піктограму Knox у нижньому лівому куті екрана пристрою[13]. Власний контейнер, пізніше названий Knox Workspace, управлявся організаціями через систему UEM[14].

Потім Samsung випустила споживчі версії функції контейнера, для управління якими не потрібна система UEM. Ці споживчі версії включали Personal Knox, пізніше названий My Knox, починаючи з 2014 року. My Knox був замінений на Secure Folder 2017 року.[15]

2018 року Samsung співпрацював з Google, щоб використовувати свій робочий профіль Android для захисту програм та даних, а 2019 року застарів контейнер Knox Workspace[16]. Samsung продовжує попередньо встановлювати Secure Folder на більшості флагманських мобільних пристроїв, але користувачі повинні увімкнути її для використання.[17]

Samsung Real-Time Kernel Protection (RKP)[ред. | ред. код]

Samsung RKP відстежує зміни ядра в режимі реального часу. Ця функція є аналогом Android dm-verity/AVB і вимагає підписаного завантажувача.[18]

Посилення безпеки для Android[ред. | ред. код]

Хоча телефони Android вже захищені від шкідливого коду або експлойтів за допомогою SE для Android та інших функцій, Samsung Knox надає періодичні оновлення, які перевіряють наявність виправлень для подальшого захисту системи.[19]

Захищений запуск[ред. | ред. код]

Під час безпечного завантаження Samsung запускає середовище попереднього завантаження, щоб перевірити збіг підписів на всіх елементах операційної системи (ОС) перед завантаженням в основне ядро. При виявленні несанкціонованої зміни спрацьовує електронний запобіжник і статус системи змінюється з «Офіційна» на «Неофіційна»[20].

Інші функції[ред. | ред. код]

Деякі інші функції, які полегшують корпоративне використання, включені в Samsung Knox, в тому числі: Samsung KMS (SKMS) для служб eSE NFC, Керування мобільними пристроями[en] (MDM), управління сертифікатами Knox (CEP)[21], Single sign-on (SSO)[22], управління PIN-кодом SIM-карти, оновлення прошивки по повітрю (FOTA)[23] і віртуальна приватна мережа (VPN)[24].

Після виходу Android Oreo компанія Samsung виправила ядро, щоб запобігти наданню root-доступу до додатків навіть після успішного вкорінення. Цей патч запобігає зміні системи несанкціонованими програмами та перешкоджає в отримані root-прав.[25]

Апаратна частина[ред. | ред. код]

Samsung Galaxy S10e з root правами та eFuse запобіжником, що спрацював.

Knox містить в собі апаратні засоби захисту, такі як ARM TrustZone (технологія, подібна TPM) та eFuse[en]. Knox Verified Boot відстежує та захищає телефон під час запуску, а також захищає його на апаратному рівні (введена в Knox 3.3)[26].

eFuse[ред. | ред. код]

На пристроях Samsung, Knox використовує[27] eFuse, який фіксує, чи була в системі несанкціоновані зміни. Якщо Knox виявляє, що на пристрій встановлено сторонній завантажувач, ядро або користувач отримав root права, відбувається зміна одноразового програмованого «гарантійного біта», що можна порівняти з перегорілим запобіжником. Після цього вже неможливо сплачувати покупки через Samsung Pay, створювати безпечне середовище або отримувати доступ до даних, раніше збережених у ньому. Цю інформацію може використовувати компанія Samsung для відмови в гарантійному обслуговуванні пристрою[28]. На деяких пристроях можливо деактивувати лічильник, застосувавши до пристрою заводську прошивку[29].

Samsung DeX[ред. | ред. код]

В Knox 3.3 були додані опції для керування Samsung DeX[en], щоб дозволити чи обмежити доступ за допомогою Knox, для додаткового контролю та безпеки.[30]

Samsung Knox TIMA[ред. | ред. код]

Архітектура вимірювання цілісності (TIMA) на основі TrustZone від Knox дозволяє зберігати ключі в контейнері для підписання сертифікатів з використанням апаратної платформи TrustZone.[31]

Безпека[ред. | ред. код]

У червні 2014 року до переліку схвалених Агентством оборонних інформаційних систем[en] (DISA) продуктів для чутливого, але несекретного використання увійшли п'ять пристроїв Samsung.[32]

У жовтні 2014 року дослідник безпеки виявив, що Samsung Knox зберігає PIN-коди у вигляді простого тексту, замість того, щоб зберігати солоні та хешовані PIN-коди.[33]

У жовтні 2014 року Агентство національної безпеки США (АНБ) схвалило пристрої Samsung Galaxy для використання в програмі швидкого розгортання комерційно доступних технологій. Схвалені продукти включають Samsung Galaxy S4, Galaxy S5, Galaxy S6, Galaxy S7, Galaxy Note 3 і Galaxy Note 10.1 2014 р..[32]

У травні 2016 року ізраїльські дослідники Урі Канонов та Авішай Вул знайшли три уразливості в певних версіях Knox.[34]

У грудні 2017 року Knox отримав «сильні» рейтинги у 25 з 28 категорій в публікації Gartner, що порівнює захищеність пристроїв на різних платформах.[35]

Військова галузь[ред. | ред. код]

Samsung створила спеціальну версію смартфона Samsung Galaxy S20 Tactical Edition для потреб армії. Пристрій має корпус «джаггернаут» та підтримку Samsung Knox.[36]

Примітки[ред. | ред. код]

  1. What's new in Knox 3.9. www.samsungknox.com (Англійська) .
  2. Принципи функціонування системи безпеки Samsung Knox. Samsung ua. Процитовано 23 вересня 2022. Технологія безпеки Knox глибоко інтегрована в наші продукти
  3. Что такое Knox и как он защищает ваши данные. Samsung ru (російська) . Процитовано 23 вересня 2022. Назва платформи Knox походить від американської військової бази Форт-Нокс, де з 1936 року зберігається один з найбільших золотих запасів США. (Название платформы Knox происходит от американской военной базы Форт-Нокс, где с 1936 года хранится один из крупнейших золотых запасов США. )
  4. а б Knox for Enterprise Mobility. Samsung Knox (англ.). Процитовано 25 вересня 2022.
  5. Knox Developer Documentation. docs.samsungknox.com. Процитовано 25 вересня 2022.
  6. Knox for Device Customization. Samsung Knox (англ.). Процитовано 30 вересня 2022.
  7. а б Knox Capture. Samsung Knox (англ.). Процитовано 30 вересня 2022.
  8. Knox Asset Intelligence Smart device inventory management. Samsung Knox (англ.). Процитовано 30 вересня 2022.
  9. Samsung Knox Documentation Ecosystem. docs.samsungknox.com. Процитовано 30 вересня 2022.
  10. Welcome to the Knox SDK. docs.samsungknox.com. Процитовано 30 вересня 2022.
  11. а б Knox Asset Intelligence. docs.samsungknox.com. Процитовано 30 вересня 2022.
  12. New Samsung Galaxy Note 3 software features explained. Android Authority (англ.). 4 вересня 2013. Архів оригіналу за 9 січня 2021. Процитовано 30 вересня 2022.
  13. Ziegler, Chris (25 лютого 2013). Samsung Knox: a work phone inside your personal phone (hands-on). The Verge (амер.). Процитовано 30 вересня 2022.
  14. Evaluating top MDMs for Android and iOS. SearchMobileComputing (англ.). Процитовано 30 вересня 2022.
  15. Samsung discontinues My Knox, urges users to switch to Secure Folder. Android Authority (англ.). 2 червня 2017. Процитовано 30 вересня 2022.
  16. What's new in Knox 3.4?. Samsung Knox (англ.). Процитовано 30 вересня 2022.
  17. What is the Secure Folder and how do I use it?. Samsung uk (en-GB) . Процитовано 30 вересня 2022.
  18. Real-time Kernel Protection (RKP). Samsung Knox (англ.). Процитовано 1 жовтня 2022.
  19. What is SE for Android? Samsung Support Philippines. Samsung ph (en-PH) . Процитовано 1 жовтня 2022.
  20. Alendal, Gunnar; Dyrkolbotn, Geir Olav; Axelsson, Stefan (1 березня 2018). Forensics acquisition — Analysis and circumvention of samsung secure boot enforced common criteria mode. Digital Investigation (англ.). Т. 24. с. S60—S67. doi:10.1016/j.diin.2018.01.008. ISSN 1742-2876. Процитовано 1 жовтня 2022.
  21. Knox Platform for Enterprise. web.archive.org. 29 січня 2022. Архів оригіналу за 29 січня 2022. Процитовано 1 жовтня 2022.
  22. Improved Single Sign-On (SSO) in Samsung Knox. Samsung Knox (англ.). Процитовано 1 жовтня 2022.
  23. Knox E-FOTA. docs.samsungknox.com. Процитовано 1 жовтня 2022.
  24. Virtual Private Networks Knox Platform for Enterprise White Paper. docs.samsungknox.com. Процитовано 1 жовтня 2022.
  25. Disable DEFEX Security to Root Samsung Galaxy Devices on Oreo (Guide). www.thecustomdroid.com (амер.). 13 жовтня 2018. Процитовано 1 жовтня 2022.
  26. https://www.usenix.org/system/files/conference/usenixsecurity17/sec17-hua.pdf
  27. What is a Knox Warranty Bit and how is it triggered?. docs.samsungknox.com. Процитовано 25 вересня 2022.
  28. Just how does Knox warranty void efuse burning work?. XDA Forums (амер.). Процитовано 25 вересня 2022.
  29. Disable Knox on Samsung Galaxy Devices [4 Ways] Android More. web.archive.org. 5 січня 2021. Архів оригіналу за 5 січня 2021. Процитовано 25 вересня 2022.
  30. Samsung DeX Apps & Services Samsung TEST. Samsung India (en-IN) . Процитовано 26 вересня 2022.
  31. TIMA Keystore. docs.samsungknox.com. Процитовано 25 вересня 2022.
  32. а б NSA approves Samsung Knox devices for government use. PCWorld (англ.). Процитовано 25 вересня 2022.
  33. NSA-Approved Samsung Knox Stores PIN in Cleartext. threatpost.com (англ.). Процитовано 26 вересня 2022.
  34. Samsung Knox isn't as secure as you think it is. TechRepublic (амер.). 31 травня 2016. Процитовано 25 вересня 2022.
  35. Samsung Knox White Paper. docs.samsungknox.com. Процитовано 25 вересня 2022.
  36. Карпусь, Вадим. Samsung создала специальную версию смартфона Galaxy S20 Tactical Edition для нужд армии. ITC.ua (російська) . Процитовано 30 вересня 2022.
Перегляд цього шаблону
  Тематичні сайти
Нормативний контроль
Отримано з https://uk.wikipedia.org/w/index.php?title=Samsung_Knox&oldid=41776526