Samsung KNOX: bezpečnost především [recenze]

Zabezpečený režim Samsung KNOX je u Androidu velkou bezpečnostní výztuhou, skrývá ale i některá úskalí.
Kapitoly článku

Samsung původně plánoval uvedení KNOXu společně se smartphonem Galaxy S III, nakonec se s uvedením řešení počkalo na Galaxy S4 spolu s Androidem 4.3. KNOX je softwarové i hardwarové řešení Samsungu za kterým se, řečeno jednoduše, skrývá dvojí Android. Systém je na hardwarové, a později i na softwarové úrovni, dělen na soukromou a pracovní část s možností přepínání mezi nimi. Soukromá část, to je Android, tak jak ho znáte doposud. Novinkou je pracovní část, která je po zadání hesla přístupná z horní lišty. Po přepnutí se nacházíte v zabezpečené části SElinuxu a můžete spouštět pouze ověřené zabezpečené aplikace. V článku se podíváme na princip KNOXu a na dvě jeho možné varianty.

Android? Rozhodně ne do pracovního prostředí

Největší slabinou Androidu je jeho potenciální nebezpečnost a nejednotnost platformy vzhledem k využití ve firemním prostředí. Telefony je možné rootovat, tedy vynucovat režim správce, který může být delegován nainstalovaným aplikacím, ty mohou být navíc instalovány i mimo aplikační obchody Google Play, SamsungApps a dalších. Navíc, u Androidu se velmi často hovoří o malware aplikacích, které je potenciální hrozbou díky sběru a možnému odesílání citlivých dat. Neznámým aplikacím z Google Play stačí nevědomky umožnit volání na telefonní čísla nebo povolit posílání textových zpráv, a na konci vyúčtovacího období se můžete hodně divit. 

Nakažené aplikace mohou odesílat citlivá data uživatelů, sdílet jejich pozici nebo dokonce zneužít Master Key Vulnerability. Při instalaci *.apk balíčků je jejich obsah podobný *.zip souboru. V balíčku je jednoznačně dána cesta do složky, která obsahuje digitálně podepsané kontrolní součty zbytku instalačního souboru. Pokud nedojde ke shodě, aplikace je odmítnuta a není nainstalována. Pokud je však v instalačním balíku klíčový soubor dvakrát, u prvního se verifikace nepodaří, ale místo něj se nainstalují data z druhého, a zde již bez ověření. V případě instalací z Google Play je bezpečnost trochu vyšší, protože na portále probíhají automatické skeny malwaru, ne všechen se ale podaří dohledat. Navíc, aplikace mohou být po publikování zobrazeny v obchodě již za několik hodin a to bez jakékoliv důkladné kontroly kódu.

Potenciální volnost uživatelů Androidu je právě jeho největší bezpečnostní hrozbou, které jsou si vědomy i firmy a korporace. Android rozhodně nemá status bezpečného mobilního systému, společnosti vědí, že potenciální problémy s bezpečností a možným unikem dat za to nestojí a tak se ve firemním segmentu poohlížejí raději po systému Windows Phone, který snáze zapadne do firemních struktur postavených na systémech a softwarových řešení Microsoftu, nebo po iOS.

Zabezpečený Android v aplikační rovině

V současné době se dá na smartphony Androidu doinstalovat řada MDM řešení (Mobile Device Management) třetích stran, z nichž mnohé se používaly již na starších mobilních platformách, a byly přepracovány pro Android. Na mysli máme např. Soti MobiControl nebo IBM Mobile Client, mezi další zástupce patří např. MaaS360, Citrix Mobile Connect nebo MobileIron Mobile@Work. V rámci využití těchto aplikací je zajištěna bezpečná a šifrovaná obousměrná komunikace, jedná se ale o doinstalovatelné aplikace, které se potenciálním problémům se zabezpečením nemusí zcela vyhnout.

Klepněte pro větší obrázek 
Samsung KNOX slouží k oddělení soukromé a pracovní části Androidu, která může být navíc napojena na podnikové systémy

Na trhu dále existuje poměrně nové řešení, u kterého je bezpečnost vynucena již na hardwarové úrovni a pokračuje u softwaru. Nese název Samsung KNOX.

Jak KNOX funguje?

Při bootování Androidu může být původní kernel nahrazen jiným, který umožňuje root a práva superusera. Do kernelu může být přidán malware, takže uživatel vizuálně nepozná, že může být vystaven nebezpečí zcizení dat. První zábranou KNOXU je tedy mechasmus bezpečného bootu, který kontroluje, zdali je v telefonu použit kernel kryptograficky podepsaný ověřenými autoritami. Primární zavaděč potvrzuje PKI certifikátem integritu sekundárního zavaděče 1, obdobným způsobem se pokračuje u sekundárního zavaděče 2 a Android Boot Loaderu. Ten se načte jen v případě, že je v telefonu přítomen Samsung kernel s certifikátem jako důkazem integrity.

Klepněte pro větší obrázek
Mechanismus bootu, předešlé bootladery vždy ověřují integritu dalšího bootloaderu. Pokud kontrola dojde až na konec bez chyby, je v telefonu přítomen originální kernel podepsaný Samsungem

Druhým krokem je Trusted Boot, který doplňuje Secure Boot Androidu. V sektoru TrustedZone v ARM procesoru se v průběhu bootu ukládají kryptografické otisky jádra a bootloaderů. Tyto hodnoty jsou za běhu neustále kontrolovány, a pokud se změní, systém na to hned adekvátně zareaguje. Pokud se v případě KNOXu potvrdí, že na zařízení běží schválený Samsung firmware, klíče z TrustZone jsou poskytnuty ke kontrole. Pokud je na zařízení custom Android, úložiště klíče nevydá a Trusted Boot skončí neúspěchem.

Režim kontroly klíčů se nazývá Atestace, je založena na unikátnosti páru soukromého a veřejného klíče. Pří výrobě dostane každé zařízení unikátní pár klíčů a certifikáty pro veřejný klíč podepsané privátním klíčem Samsungu. Atestační severy náhodně zkouší zařízení na dálku, aby otestovaly jejich integritu. Hodnoty z TrustZone se porovnají s aktuálními hodnotami a výsledky se zašlou na atestační server k závěrečnému potvrzení.

Klepněte pro větší obrázek
Dělení na operační domény - princip jak pří případném prolomení minimalizovat ztráty informací

KNOX dále chrání Android nadstavbou SE for Android (Security Enhancements), která je postavena na technologii SELinux. Ta definuje, které aplikace či aplikací mají přístup k souborům a zdrojům, a jsou jim generovány přístupové politiky, které firemní uživatelé nemohou nijak změnit. SE for Android dělí operační systém na samostatné domény. V každé doméně jsou aplikacím dána minimální oprávnění na jejich běh, aby v případě prolomení jedné oblasti nedošlo k odhalení dat v jiných oblastech.

Klepněte pro větší obrázek
Aplikace v KNOXu nemají v základním nastavení přístup k datům a aplikacím v „běžném“ Androidu. To stejné platí i opačným směrem

Jedná se tedy o kontejnerové řešení, kdy aplikace v KNOXU nemají přístup k osobním datům či jiným nainstalovaným aplikacím, a to platí i obráceným směrem. Aplikace jsou navíc umístěny v separátní části Androidu, která se podobá běžnému Androidu. Kontejner umožňuje absolutní izolování a zabezpečení dat, aplikace jsou navíc zabaleny ve speciální vrstvě, která jim umožňuje, aby mohly být spuštěny v KNOXu. 

V případě korporátního využití KNOXu musí být cílová aplikace odeslána na webový server, kde je rozbalena, jsou z ní extrahovány vývojářské certifikáty a poté je zabalena s dodatkovými soubory do nového balíčku. Ten je odeslán do kontrolního střediska Samsungu, které verifikuje možná bezpečnostní rizika aplikace, popř. detekuje, zdali aplikace neobsahuje nějaký druh škodlivého kódu. Jakmile je bezpečnost ověřena, aplikace je odeslána zpět zákazníkovi s tím, že je možné ji na KNOX nainstalovat. IT oddělení pak můžete tyto aplikace na dálku nainstalovat přes podporované MDM systémy do KNOX kontejneru nebo je lze nechat umístit do privátního obchodu s KNOX aplikacemi v dané firmě.

Klepněte pro větší obrázek
Data v KNOX kontejneru jsou šifrována 256bit šifrou AES, týká se to souborů a složek na paměťové kartě i v interní paměti

KNOX také řeší problém potenciálního nebezpečí zcizení nešifrovaných dat či obnovené dříve smazaných dat v interní paměti a na SD kartě. K dispozici je On-Device Encryption (ODE), které používá 256bit šifru AES, jenž šifruje interní i externí paměť. Šifrování je k dispozici i pro virtuální privátní sítě (Per-app VPN), kdy nemůže být přenos dat nijak odposloucháván. V neposlední řadě může IT administrátor zařízení s firemním KNOXem na dálku spravovat, monitorovat pozici, zablokovat či uvést do továrního nastavení.

Témata článku: Samsung, Android, Smartphony, Tablety, Bezpečnost, Správce zařízení, Android 16, Samsung Galaxy Note, Samsung Galaxy Note 3, Samsung Galaxy Note 3 Neo, Samsung Galaxy Note 3 Neo Duos, Samsung Galaxy Note Pro 12.2, Samsung Galaxy Note Pro 12.2 32GB LTE, Samsung Galaxy Note Pro 12.2 64GB LTE, Samsung Galaxy Note Pro 12.2 64GB Wi-Fi, Samsung Galaxy S, Samsung Galaxy S III, Samsung Galaxy S4, Samsung Galaxy S4 Active, Samsung Galaxy S4-A, Samsung Galaxy S5, Obousměrná komunikace, Firemní uživatel, Černá plocha, Skutečný obsah, Telefony s Androidem na Heureka.cz




Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Microsoft odhalil hry zdarma z Games with Gold na měsíc červenec

Microsoft odhalil hry zdarma z Games with Gold na měsíc červenec

Potěší milovníky akce i dobrodružství.

Michal Maliarov
Hry zdarmaXbox Live Gold
Samsung ladí hodinkový systém s Wear OS 3.5. Podívejte se, jak bude vypadat prostředí hodinek Galaxy Watch5

Samsung ladí hodinkový systém s Wear OS 3.5. Podívejte se, jak bude vypadat prostředí hodinek Galaxy Watch5

** Na trhu existují (mimo Samsung) jen jedny hodinky s Wear OS 3 ** Samsung za pár týdnů představí Galaxy Watch5... **...a ty poběží na ještě novější Wear OS 3.5

Martin Chroust
One UIWear OS
Vybrali jsme nejlepší telefony, které si v červnu 2022 můžete koupit

Vybrali jsme nejlepší telefony, které si v červnu 2022 můžete koupit

** Každý měsíc vybíráme nejlepší mobily v několika kategoriích. ** Smartphony dělíme podle výbavy a ceny, aby si mohl vybrat každý. ** Nezapomínáme ani na tablety a tlačítkové telefony.

Jan Láska
TelefonySmartphonyNákup a ceny
Malé telefony s Androidem ještě nevymřely. Cubot Pocket si vás získá čtyřpalcovým displejem a nízkou cenou

Malé telefony s Androidem ještě nevymřely. Cubot Pocket si vás získá čtyřpalcovým displejem a nízkou cenou

** Hledáte kompaktní telefon okolo čtyř palců? ** Dotykáč už možná nenajdete, budou zde jen tlačítkové telefony ** Zavedené pořádky chce změnit Cubot Pocket

Martin Chroust
Kompaktní velikostAndroid
Horší než covid, mobilní výrobci zažívají krušné časy. Samsungu uvízlo po světě 50 milionů neprodaných telefonů

Horší než covid, mobilní výrobci zažívají krušné časy. Samsungu uvízlo po světě 50 milionů neprodaných telefonů

** Dozvuky pandemie, nedostatek čipů a teď zase válka ** (Nejen) mobilní výrobci zažívají krušné časy ** Samsung má např. ve skladech na 50 milionů neprodaných telefonů

Martin Chroust
Nižší třídaStřední třída
Recenze reprosoustav Elac Concentro S 503. Třípásmové regálovky pro náročné

Recenze reprosoustav Elac Concentro S 503. Třípásmové regálovky pro náročné

Concentro S 503 v sobě kombinují lifestylové naladění „do hezka“ s audiofilskými prvky, jako jsou jemné detaily, křehké dozvuky a nenucená kontrolovanost.

Daniel Březina
Test
Alza rozšířila výkup chytré elektroniky. Kromě iPhonů už prodáte i Androidy, hodinky a herní konzole

Alza rozšířila výkup chytré elektroniky. Kromě iPhonů už prodáte i Androidy, hodinky a herní konzole

** Alza nově vykupuje chytré telefony různých značek ** Výkup lze vyřídit kompletně online ** Odprodat můžete i chytré hodinky, tablety a jinou elektroniku

Martin Miksa
VýkupAlzaSmartphony
Nový hit. Tahle appka vám udělá profilovku jako od pouličního ilustrátora

Nový hit. Tahle appka vám udělá profilovku jako od pouličního ilustrátora

** Aplikace NewProfilePic se na Androidu stala hitem ** Můžete si v ní vytvořit profesionálně vypadající profilovky ** Pozor ale na agresivní cenovou politiku za Pro verzi

Martin Chroust
FotografieUmělá inteligenceMobilní aplikace