Zabezpečený režim Samsung KNOX je u Androidu velkou bezpečnostní výztuhou, skrývá ale i některá úskalí.
Business KNOX
Samsung v prvním čtvrtletí letošního roku ukončil práci na Personal KNOXu a soustředí s výhradně na firemní KNOX. Ten jsme si mohli vyzkoušet na modelu Galaxy S4 ve spojitosti s mobilním řešením Mobile Iron. Pokud byste přemýšleli integrovat KNOX do firemní sítě, je třeba kontaktovat společnost System4U, která je v ČR hlavním integrátorem řešení Samsung KNOX.
Instalace KNOXu začíná na Google Play stažením aplikace Mobile@Work, následně je třeba zadat uživatelské jméno a heslo a postupovat podle požadavků na displeji
Následuje odsouhlasení podmínek a vytvoření hesla pro zabezpečené aplikace
Po instalaci KNOXu je konfigurován e-mail a jsou staženy zabezpečené aplikace, ty pak najdete přímo mezi aplikacemi. Bez dříve zadaného hesla je ale nespustíte
Koncový zaměstnanec obdrží podporované KNOX zařízení a přístupová data k serveru pro registraci telefonu, uživatelské jméno a heslo. Prvním krokem je přidání Google účtu do telefonu a stažení aplikace Mobile Iron z Google Play. V ní je potřeba zadat adresu serveru a poté uživatelské jméno a heslo. Prvním krokem k bezpečnému navázání spojení je nastavení aplikace jakožto administrátora zařízení, poté je třeba zabezpečit zařízení PIN kódem. Je třeba dodat, že tyto bezpečnostní politiky jsou vynuceny administrátorem serveru, v našem konkrétním případě bylo třeba zadat šestimístný PIN, který je třeba zadat při odemknutí zařízení.
Základní nabídka aplikací v obchodu KNOX Store
Až dalším krokem je instalace KNOX režimu, což trvá zhruba deset minut. Do KNOX režimu si musíte vytvořit vlastní heslo, které se musí skládat z kombinace číslic a písmen. Po stažení a instalaci je vám přidělen zaměstnanecký e-mail a ke stažení nabídnuty zabezpečené aplikace z firemního serveru. Přístup k nim je umožněn z běžného Androidu, pro jejich spuštění však musíte zadat heslo.
Notifikace v horní liště, zprávy od administrátora a zprávy informující o zablokovaných aplikacích. Ukázka deaktivace instalace aplikací z třetích stran
Aplikace Mobile Iron je pak v telefonu prodlouženou rukou administrátora, pokud se objeví nějaké nové politiky systémového správce, které vás nutí k reakci, zobrazí se v informační liště a vy jste vynuceni na ně reagovat. V případě netečnosti vás můžete zkontrolovat administrátor a dát vám znovu najevo nutnost instalace. Politiky týkající se omezení funkcí se objeví neslyšně na pozadí, nemožnost spouštění aplikací poznáte hláškou na displeji. Jakmile máte vše hotovo a nastaveno, můžete spustit režim KNOX. Jeho ovládání a možnosti jsou na první pohled v základu stejné, jako v osobním KNOXu, nenechejte se ale zmást.
KNOX i stávající Android pod kontrolou
Business varianta se od té základní liší zejména v celkové kontrole zařízení. Stále tedy platí, že v KNOXu jsou vaše data zabezpečena, navíc ale můžete omezit chování základního, tedy ve firemním prostředí potenciálně nebezpečného, Androidu. Vše kontroluje systémový administrátor, který se přihlásí do webové konzole Mobile Iron a má před sebou jako na dlani veškerá přiřazená zařízení. Pokud jich je velký počet, může si vyfiltrovat zařízení podle štítků, které jim byly přiřazeny. Na každé zařízení lze rychle nahlédnout a dozvědět se veškeré dostupné informace.
Úvodní informace o všech připojených zařízeních ve službě, detail vybraného zařízení zobrazí i kapacitu RAM či baterie, dozvíte se také seznam nainstalovaných aplikací, politiky a přiřazené konfigurace
Absolutní základ je telefonní číslo a používaný (nebo naposledy používaný) operátor. Zjistíte také aktuální vytížení paměti RAM, kapacitu interní paměti, úroveň nabití baterie, dobu poslední vzájemné komunikace se serverem, integritu zařízení, verzi firmwaru, IMEI, zdali je zařízení v roamingu, verzi Androidu, použité šifrování zabezpečených aplikací, autentifikační klíč, zdali je zapnuté ladění USB, MAC adresu Wi-Fi a další detaily. Můžete také rychle zjistit přiřazené politiky, přidat štítky, podívat se do seznamu nainstalovaných aplikací nebo k zařízení připsat komentář.
Administrátor může zařízení na dálku zablokovat, poslat SMS, E-mail, Push notifikaci nebo lokalizovat polohu zaměstnance. To však funguje pouze tehdy, byla-li za posledních 72 hodin nějaká poloha zaznamenána
Přes kontextové menu může správce zařízení zobrazit na mapě, pokud k němu byly za posledních 72 hodin zaznamenány nějaké souřadnice, případně jej na dálku zamknout, odemknout, prohlásit za ztracený, nalezený, případně na displej odeslat vlastní zprávu. Buď jako notifikaci nebo přímo SMSku či jako e-mail do zaměstnancova Exchange. Příkazy probíhají zhruba do pěti minut od zažádání, k většině z nich může administrátor přidat i vlastní poznámku. Ta je pak vhodná zejména při budoucím prohlížení protokolů. Je však samozřejmě potřeba, aby bylo koncové zařízení připojeno k internetu, aby mohly být vzdálené příkazy provedeny.
Omezení, protokoly a vzdálené instalace
Administrátor může zaměstnancům značně omezit používání jejich firemního Androidu. V záložce Apps je možné zobrazit aplikace, které jsou nainstalované aspoň v jednom spravovaném zařízení, sledovat jejich nutná oprávnění, případně omezit využívání některých titulů vytvořením bezpečnostních pravidel. Na druhou stranu jde přes webové rozhraní přidat aplikace s možností jejich tiché instalace na spravovaných zařízeních.
U nainstalovaných aplikací je možné procházet oprávnění, tituly, které se budou zdát jako podezřelé je možné zablokovat. Na druhou stranu může administrátor do systému přidat novou aplikaci, které se na pozadí nainstaluje každému nebo vybraným uživatelům
V záložce Policies & Configs je řešena hlavní funkcionalita webového rozhraní, tedy omezení funkčnosti telefonů. V prvé řadě lze zablokovat fotoaparát, aplikační obchod Samsungu, sdílení obsahu, vytváření e-mailů či využívání klávesnic třetích stran, protože by mohly ukládat a odesílat napsané texty. Mimo nastavení kontejneru lze upravit chování Exchange, webového prohlížeče či uživatelům nastavit připojení k Wi-Fi a VPN, aniž by se někde museli přihlašovat.
Základní nastavení KNOX kontejneru, kde je možné zablokovat např. fotoaparát. Ve webové konzoli je možno upravovat i politiku hesel
Nejvýznamnější omezení se týkají sekce Lockdown politik. V ní lze zablokovat celou řadu funkcí a přístupu k hardwaru. Mimo fotoaparátu se jedná o Bluetooth, čtení z SD karty, možnost aktivace Wi-Fi, možnost uživatelské kontroly GPS či možnosti aktivace NFC. Můžete dále zablokovat widgety na lockscreenu, mikrofon při nahrávání zvuků, ladění USB nebo připojení k počítači. S tím se pojí i deaktivace instalace aplikací z paměťové karty či interní paměti. Můžete zajít ještě dál a zablokovat portál Google Play, takže si uživatel nedoinstaluje už vůbec nic. Screenshoty v KNOXu pořizovat nelze, můžete je navíc vypnout i v běžném Androidu.
Lockdown politiky KNOX kontejneru, omezit lze nejen chování KNOXu ale i celého zařízení
Zablokovat lze i změny nastavení, softwarové OTA aktualizace i možnost odstranit v zařízení jeho vzdálenou správu. Nemusí být povoleno kopírování textu, zviditelnění hesel, roamingové volání a data nebo vytváření e-mailových účtů. Tímto způsobem lze eliminovat veškeré možné chování Androidu, které by mohlo narušit bezpečnost dat ve firemní sféře. Možnosti nastavení jsou ve správcovské konzoli samozřejmě daleko rozsáhlejší, cílem je patřičně upravit chování Androidu ve firemním prostředí.
Systémové logy ukazují uživatele, přiřazená zařízení a činnosti, které probíhaly. Záznamy registrují instalace aplikací, registrace zařízení, blokování, odblokování, lokalizace zařízení, nahlášení ztrát a nálezů, nastavování a posílání zpráv administrátorem
Samotný Business KNOX nabízí vývojářům přes tisíc různých Android API a více než 450 bezpečnostních politik, nativní Android vzhledem k bezpečnosti nabídne něco přes 35 API, bezpečnostní politiky pak nijak neřeší. KNOX API lze využít v Samsung SDK (Software Development Kit), které umožňuje MDM aplikacím (Mobile Device Management) mít přímou kontrolu nad hardwarem zařízení. V ČR v současné době probíhá testování firemního KNOXu u několika vybraných společností a je zde několik poboček nadnárodních společností, které již používají KNOX od loňského roku.
KNOX Warranty void jako porušení záruky
V případě, že do osobního či firemního Samsung Androidu nahrajete vlastní recovery, root nebo rovnou celou custom ROM, objeví se v Odin módu (snížení hlasitosti + Home + zamykací klávesa) u položky System Status hodnota Custom. Navíc se inkrementuje binární počítadlo Custom Binary Download, které indikuje, kolikrát byl do zařízení nahrán Samsungem nepodepsaný software. Toto počítadlo lze po rootu odstranit aplikací Triangle Away, v případě reklamací, tak do smartphonu můžete nahrát originální software a vymazat čítač. KNOX bootloader však do celého režimu zavedl novou proměnnou - KNOX warranty void. V případě, že je jeho hodnota 0x0, je vše v pořádku, KNOX režim půjde nainstalovat a můžete jej plnohodnotně používat.
Galaxy Note 3 s neupraveném systémem a Galaxy S4 s custom recovery a rootem
Jakmile však do zařízení nahrajete root, custom recovery nebo jinou ROM, hodnota se změní na 0x1. V tomto případě se aktuální KNOX režim zablokuje a nepůjde do něj již nikdy vstoupit. Telefon bude až na zabezpečenou část Androidu fungovat normálně, ovšem na případné problémy můžete narazit při reklamaci, kdy je tento bit známkou toho, že jste do zařízení nahráli nepodepsaný software. Záleží však nad konkrétním chování servisu, zdali bit přehlédne nebo se na něj bude odkazovat.
Bit je údajně uložen v pojistce Efuse/Qfuse (paměť s jediným zápisem) na základní desce, takže abyste jej znovu vynulovali, musí dojít k její výměně. Jedinou možností, jak šlo u zařízení s KNOXem nainstalovat root, byl Root de la Vega. Ten obešel zabezpečovací mechanismy při bootování do Odin módu a dokázal modifikovat systémovou image, bez toho, aby si toho zabezpečovací techniky KNOXU všimly. V polovině února však Samsung připravil update, ve kterém znemožnil root těchto zařízení, a to i zpětně, takže se nepůjde dostat do staršího KNOXu bez nutné instalace bezpečnostních záplat.
Galaxy S4, do kterého jsme nahráli custom recovery a root, již nedokáže spustit Samsung KNOX
Ve vyjádření Samsungu stojí, že bit KNOXu je důkaz toho, že jsou kernel a kritické inicializační skripty pod kontrolou Samsungu. Pokud je porušena, není již možné vytvářet KNOX kontejner ani přistupovat k dřívějším KNOX datům, zejména po dobu přítomnosti rootu.
Bohužel Samsung nijak neřeší možnost automatického smazání kontejneru při nahrání custom kernelu, ani automatický reset čítače KNOXu, když je do telefonu opět nahrán oficiální firmware. Ohledně KNOXu existuje na fóru XDA Developers vlákno, ve kterém je slíbena odměna přes 3 100 USD (v přepočtu 62 000 Kč) tomu, kdo dokáže v domácích podmínkách u Galaxy Note 3 vynulovat bit KNOX warranty void. Určité náznaky řešení jsou vidět pro zařízení s procesorem Exynos (bez podpory LTE), k nám se však dodávají smartphony s procesory Snapdragon a podporou LTE, takže zde pravděpodobně nebude řešení žádné.
V polovině června se na fóru XDA-Developers objevil Towel Root, který jedním kliknutím rootne Samsungy s Androidem, uživatelé u něj reportují, že bit KNOXu zůstává nedotčen. Pro uživatele prahnoucí po rootu a systémových úpravách se blýská na lepší časy, pro zaměstnavatele, do jehož sítě se připojují zařízení s KNOXem, to však může znamenat bezpečnostní problém. I tato možnost odemknutí ale zřejmě nebude mít dlouhého trvání.
Výhledy do budoucna
Výhodou KNOXu pro běžného uživatele je to, že do něj může uložit svá citlivá data. Pokud jej však nevyužívá a chce na zařízení používat i něco jiného, než jen originální software, je pro něj spíše problémem. Samsung totiž KNOX do svých firmwarů nyní již automaticky integruje, jeho opomenutí u Androidu 4.3 pro Galaxy S III je spíše světlou výjimkou. Zabezpečené Samsungy s KNOXem se budou objevovat i nadále, výrobce na veletrhu MWC v Barceloně představil KNOX 2, který se již začal aktualizacemi distribuovat do Galaxy S4 a Galaxy S5. Jeho cílem je přinést další bezpečnostní funkce a hlavně se dostat do více smartphonů a tabletů s Androidem.
Personal KNOX již ale nebude předinstalován po koupi nových modelů, na výběr bude jen firemní placená verze KNOXu, kterou můžete získat až po konzultaci s partnerskými společnostmi Samsungu. Bohužel KNOX Bootlader nadále zůstává, takže flashováním telefonu porušíte KNOX Warranty bit a pokud dojde ke kontrole ze strany servisu, budete bez záruky. Na druhou stranu nám firemní KNOX ukázal své rozsáhlé možnosti nastavení a omezení Android uživatelů tak, aby nedošlo k úniku citlivých informací, resp. aby zůstávaly v nedotknutelné části Samsung KNOX.
Řešení na trhu nakonec zaujalo natolik, že jeho část zaintegruje Google přímo do chystaného Androidu L. Tím se KNOX pomalu rozšíří i k jiným mobilním výrobcům.
