Samsung KNOX: bezpečnost především [recenze]

Zabezpečený režim Samsung KNOX je u Androidu velkou bezpečnostní výztuhou, skrývá ale i některá úskalí.
Kapitoly článku

Samsung původně plánoval uvedení KNOXu společně se smartphonem Galaxy S III, nakonec se s uvedením řešení počkalo na Galaxy S4 spolu s Androidem 4.3. KNOX je softwarové i hardwarové řešení Samsungu za kterým se, řečeno jednoduše, skrývá dvojí Android. Systém je na hardwarové, a později i na softwarové úrovni, dělen na soukromou a pracovní část s možností přepínání mezi nimi. Soukromá část, to je Android, tak jak ho znáte doposud. Novinkou je pracovní část, která je po zadání hesla přístupná z horní lišty. Po přepnutí se nacházíte v zabezpečené části SElinuxu a můžete spouštět pouze ověřené zabezpečené aplikace. V článku se podíváme na princip KNOXu a na dvě jeho možné varianty.

Android? Rozhodně ne do pracovního prostředí

Největší slabinou Androidu je jeho potenciální nebezpečnost a nejednotnost platformy vzhledem k využití ve firemním prostředí. Telefony je možné rootovat, tedy vynucovat režim správce, který může být delegován nainstalovaným aplikacím, ty mohou být navíc instalovány i mimo aplikační obchody Google Play, SamsungApps a dalších. Navíc, u Androidu se velmi často hovoří o malware aplikacích, které je potenciální hrozbou díky sběru a možnému odesílání citlivých dat. Neznámým aplikacím z Google Play stačí nevědomky umožnit volání na telefonní čísla nebo povolit posílání textových zpráv, a na konci vyúčtovacího období se můžete hodně divit. 

Nakažené aplikace mohou odesílat citlivá data uživatelů, sdílet jejich pozici nebo dokonce zneužít Master Key Vulnerability. Při instalaci *.apk balíčků je jejich obsah podobný *.zip souboru. V balíčku je jednoznačně dána cesta do složky, která obsahuje digitálně podepsané kontrolní součty zbytku instalačního souboru. Pokud nedojde ke shodě, aplikace je odmítnuta a není nainstalována. Pokud je však v instalačním balíku klíčový soubor dvakrát, u prvního se verifikace nepodaří, ale místo něj se nainstalují data z druhého, a zde již bez ověření. V případě instalací z Google Play je bezpečnost trochu vyšší, protože na portále probíhají automatické skeny malwaru, ne všechen se ale podaří dohledat. Navíc, aplikace mohou být po publikování zobrazeny v obchodě již za několik hodin a to bez jakékoliv důkladné kontroly kódu.

Potenciální volnost uživatelů Androidu je právě jeho největší bezpečnostní hrozbou, které jsou si vědomy i firmy a korporace. Android rozhodně nemá status bezpečného mobilního systému, společnosti vědí, že potenciální problémy s bezpečností a možným unikem dat za to nestojí a tak se ve firemním segmentu poohlížejí raději po systému Windows Phone, který snáze zapadne do firemních struktur postavených na systémech a softwarových řešení Microsoftu, nebo po iOS.

Zabezpečený Android v aplikační rovině

V současné době se dá na smartphony Androidu doinstalovat řada MDM řešení (Mobile Device Management) třetích stran, z nichž mnohé se používaly již na starších mobilních platformách, a byly přepracovány pro Android. Na mysli máme např. Soti MobiControl nebo IBM Mobile Client, mezi další zástupce patří např. MaaS360, Citrix Mobile Connect nebo MobileIron Mobile@Work. V rámci využití těchto aplikací je zajištěna bezpečná a šifrovaná obousměrná komunikace, jedná se ale o doinstalovatelné aplikace, které se potenciálním problémům se zabezpečením nemusí zcela vyhnout.

Klepněte pro větší obrázek 
Samsung KNOX slouží k oddělení soukromé a pracovní části Androidu, která může být navíc napojena na podnikové systémy

Na trhu dále existuje poměrně nové řešení, u kterého je bezpečnost vynucena již na hardwarové úrovni a pokračuje u softwaru. Nese název Samsung KNOX.

Jak KNOX funguje?

Při bootování Androidu může být původní kernel nahrazen jiným, který umožňuje root a práva superusera. Do kernelu může být přidán malware, takže uživatel vizuálně nepozná, že může být vystaven nebezpečí zcizení dat. První zábranou KNOXU je tedy mechasmus bezpečného bootu, který kontroluje, zdali je v telefonu použit kernel kryptograficky podepsaný ověřenými autoritami. Primární zavaděč potvrzuje PKI certifikátem integritu sekundárního zavaděče 1, obdobným způsobem se pokračuje u sekundárního zavaděče 2 a Android Boot Loaderu. Ten se načte jen v případě, že je v telefonu přítomen Samsung kernel s certifikátem jako důkazem integrity.

Klepněte pro větší obrázek
Mechanismus bootu, předešlé bootladery vždy ověřují integritu dalšího bootloaderu. Pokud kontrola dojde až na konec bez chyby, je v telefonu přítomen originální kernel podepsaný Samsungem

Druhým krokem je Trusted Boot, který doplňuje Secure Boot Androidu. V sektoru TrustedZone v ARM procesoru se v průběhu bootu ukládají kryptografické otisky jádra a bootloaderů. Tyto hodnoty jsou za běhu neustále kontrolovány, a pokud se změní, systém na to hned adekvátně zareaguje. Pokud se v případě KNOXu potvrdí, že na zařízení běží schválený Samsung firmware, klíče z TrustZone jsou poskytnuty ke kontrole. Pokud je na zařízení custom Android, úložiště klíče nevydá a Trusted Boot skončí neúspěchem.

Režim kontroly klíčů se nazývá Atestace, je založena na unikátnosti páru soukromého a veřejného klíče. Pří výrobě dostane každé zařízení unikátní pár klíčů a certifikáty pro veřejný klíč podepsané privátním klíčem Samsungu. Atestační severy náhodně zkouší zařízení na dálku, aby otestovaly jejich integritu. Hodnoty z TrustZone se porovnají s aktuálními hodnotami a výsledky se zašlou na atestační server k závěrečnému potvrzení.

Klepněte pro větší obrázek
Dělení na operační domény - princip jak pří případném prolomení minimalizovat ztráty informací

KNOX dále chrání Android nadstavbou SE for Android (Security Enhancements), která je postavena na technologii SELinux. Ta definuje, které aplikace či aplikací mají přístup k souborům a zdrojům, a jsou jim generovány přístupové politiky, které firemní uživatelé nemohou nijak změnit. SE for Android dělí operační systém na samostatné domény. V každé doméně jsou aplikacím dána minimální oprávnění na jejich běh, aby v případě prolomení jedné oblasti nedošlo k odhalení dat v jiných oblastech.

Klepněte pro větší obrázek
Aplikace v KNOXu nemají v základním nastavení přístup k datům a aplikacím v „běžném“ Androidu. To stejné platí i opačným směrem

Jedná se tedy o kontejnerové řešení, kdy aplikace v KNOXU nemají přístup k osobním datům či jiným nainstalovaným aplikacím, a to platí i obráceným směrem. Aplikace jsou navíc umístěny v separátní části Androidu, která se podobá běžnému Androidu. Kontejner umožňuje absolutní izolování a zabezpečení dat, aplikace jsou navíc zabaleny ve speciální vrstvě, která jim umožňuje, aby mohly být spuštěny v KNOXu. 

V případě korporátního využití KNOXu musí být cílová aplikace odeslána na webový server, kde je rozbalena, jsou z ní extrahovány vývojářské certifikáty a poté je zabalena s dodatkovými soubory do nového balíčku. Ten je odeslán do kontrolního střediska Samsungu, které verifikuje možná bezpečnostní rizika aplikace, popř. detekuje, zdali aplikace neobsahuje nějaký druh škodlivého kódu. Jakmile je bezpečnost ověřena, aplikace je odeslána zpět zákazníkovi s tím, že je možné ji na KNOX nainstalovat. IT oddělení pak můžete tyto aplikace na dálku nainstalovat přes podporované MDM systémy do KNOX kontejneru nebo je lze nechat umístit do privátního obchodu s KNOX aplikacemi v dané firmě.

Klepněte pro větší obrázek
Data v KNOX kontejneru jsou šifrována 256bit šifrou AES, týká se to souborů a složek na paměťové kartě i v interní paměti

KNOX také řeší problém potenciálního nebezpečí zcizení nešifrovaných dat či obnovené dříve smazaných dat v interní paměti a na SD kartě. K dispozici je On-Device Encryption (ODE), které používá 256bit šifru AES, jenž šifruje interní i externí paměť. Šifrování je k dispozici i pro virtuální privátní sítě (Per-app VPN), kdy nemůže být přenos dat nijak odposloucháván. V neposlední řadě může IT administrátor zařízení s firemním KNOXem na dálku spravovat, monitorovat pozici, zablokovat či uvést do továrního nastavení.

Témata článku: Samsung, Android, Smartphony, Tablety, Bezpečnost, Správce zařízení, Android 16, Samsung Galaxy Note, Samsung Galaxy Note 3, Samsung Galaxy Note 3 Neo, Samsung Galaxy Note 3 Neo Duos, Samsung Galaxy Note Pro 12.2, Samsung Galaxy Note Pro 12.2 32GB LTE, Samsung Galaxy Note Pro 12.2 64GB LTE, Samsung Galaxy Note Pro 12.2 64GB Wi-Fi, Samsung Galaxy S, Samsung Galaxy S III, Samsung Galaxy S4, Samsung Galaxy S4 Active, Samsung Galaxy S4-A, Samsung Galaxy S5, Secure Boot, Ladění USB, Skript, Potenciální problém, Telefony s Androidem na Heureka.cz




Na světě je 7. generace legendárního Mi Bandu. Má větší displej, baterii a nechybí ani NFC

Na světě je 7. generace legendárního Mi Bandu. Má větší displej, baterii a nechybí ani NFC

** Xiaomi oznámilo sedmou generaci legendárního Mi Bandu ** Náramek dostal větší displej i baterii s větší kapacitou ** Na zápěstí budete mít nově svého osobního trenéra

Martin Chroust
Mi Band 7Chytré náramky
Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Novinky od Qualcommu. Vylepšený špičkový čipset, Snapdragon pro střední třídu a vlastní AR brýle

Novinky od Qualcommu. Vylepšený špičkový čipset, Snapdragon pro střední třídu a vlastní AR brýle

** Qualcomm ukázal specifikace čipsetu Snapdragon 8+ Gen 1 ** Zvýšil výkon i energetickou efektivitu, a to díky výrobě u TSMC * Další novinkami jsou Snapdragon 7 Gen 1 a AR brýle

Martin Chroust
4nmSnapdragonMobilní procesory
Vybrali jsme nejlepší telefony, které si v květnu 2022 můžete koupit

Vybrali jsme nejlepší telefony, které si v květnu 2022 můžete koupit

** Každý měsíc vybíráme nejlepší mobily v několika kategoriích. ** Smartphony dělíme podle výbavy a ceny, aby si mohl vybrat každý. ** Nezapomínáme ani na tablety a tlačítkové telefony.

Jan Láska
TelefonySmartphonyNákup a ceny
Nový hit. Tahle appka vám udělá profilovku jako od pouličního ilustrátora

Nový hit. Tahle appka vám udělá profilovku jako od pouličního ilustrátora

** Aplikace NewProfilePic se na Androidu stala hitem ** Můžete si v ní vytvořit profesionálně vypadající profilovky ** Pozor ale na agresivní cenovou politiku za Pro verzi

Martin Chroust
FotografieUmělá inteligenceMobilní aplikace
S odolnými telefony se musí počítat. Tenhle tank se může opřít o vysoký výkon, noční vidění i o rychlá data

S odolnými telefony se musí počítat. Tenhle tank se může opřít o vysoký výkon, noční vidění i o rychlá data

** Značka Blackview uvedla na trh dvě nová odolná monstra ** Pyšní se maximální odolností, obří baterií i podporou 5G sítí ** Jeden telefon vsadil na noční vidění, druhý zase na termovizi

Martin Chroust
TermokameraMIL-STD 810BlackView
Nejlepší aplikace pro tento týden: Lenivé kosti, topografické mapy a preventivka

Nejlepší aplikace pro tento týden: Lenivé kosti, topografické mapy a preventivka

**V marketech najdete množství titulů, ale jak objevit ty kvalitní? **Každý týden je vybírá Apple, ale řada z nich má i verzi pro Android. **Výsledkem jsou kolekce těch nejlepších aplikací svého druhu.

Adam Kos
Nejlepší aplikace
Toto jsou nejlepší levné telefony. Alespoň 90Hz displej je už téměř standard, 5G ani zdaleka ne

Toto jsou nejlepší levné telefony. Alespoň 90Hz displej je už téměř standard, 5G ani zdaleka ne

** Vybrali jsme ty nejlepší levné smartphony ** Nejlevnější startují na 2 000 Kč, nejdražší jsou téměř za 6 tisíc ** Většina nabídne alespoň 90Hz displej a některé i 5G konektivitu

Martin Miksa
Nižší třída
Zaujala vás Hra o trůny (Game of Thrones)? Potom se vám budou líbit i tyto seriály

Zaujala vás Hra o trůny (Game of Thrones)? Potom se vám budou líbit i tyto seriály

Hra o trůny (Game of Thrones) je legendární seriál televize HBO. Od roku 2011 v osmi sezónách popisoval boj šlechtických rodů o vládu a moc. Hra o Trůny sice skončila, ale tady jsou další seriály podobného charakteru, které by se vám mohly líbit.

Ondřej Králík
Filmy, které musíte vidět
Windows 11 se rozšíří o AI. Microsoft počítá s přílivem neuronových procesorů
Lukáš Václavík
Microsoft Build 2022Windows 11Neuronová síť
Samsung má nové „nezničitelné“ microSD karty. Dokáží nepřetržitě ukládat data po dobu 16 let

Samsung má nové „nezničitelné“ microSD karty. Dokáží nepřetržitě ukládat data po dobu 16 let

** Samsung představil odolnou řadu microSD karet ** Jsou určeny pro telefony, foťáky i kamery ** Karty dokáží nepřetržitě ukládat data po dobu 16 let!

Martin Chroust
microSDZvýšená odolnost
Malé telefony s Androidem ještě nevymřely. Už brzy se dočkáme nového čtyřpalcového telefonu do kapsy

Malé telefony s Androidem ještě nevymřely. Už brzy se dočkáme nového čtyřpalcového telefonu do kapsy

** Hledáte kompaktní telefon okolo čtyř palců? ** Dotykáč už možná nenajdete, budou zde jen tlačítkové telefony ** Zavedené pořádky chce brzy změnit Cubot Pocket

Martin Chroust
Kompaktní velikostAndroid