Zabezpečený režim Samsung KNOX je u Androidu velkou bezpečnostní výztuhou, skrývá ale i některá úskalí.
Samsung původně plánoval uvedení KNOXu společně se smartphonem Galaxy S III, nakonec se s uvedením řešení počkalo na Galaxy S4 spolu s Androidem 4.3. KNOX je softwarové i hardwarové řešení Samsungu za kterým se, řečeno jednoduše, skrývá dvojí Android. Systém je na hardwarové, a později i na softwarové úrovni, dělen na soukromou a pracovní část s možností přepínání mezi nimi. Soukromá část, to je Android, tak jak ho znáte doposud. Novinkou je pracovní část, která je po zadání hesla přístupná z horní lišty. Po přepnutí se nacházíte v zabezpečené části SElinuxu a můžete spouštět pouze ověřené zabezpečené aplikace. V článku se podíváme na princip KNOXu a na dvě jeho možné varianty.
Android? Rozhodně ne do pracovního prostředí
Největší slabinou Androidu je jeho potenciální nebezpečnost a nejednotnost platformy vzhledem k využití ve firemním prostředí. Telefony je možné rootovat, tedy vynucovat režim správce, který může být delegován nainstalovaným aplikacím, ty mohou být navíc instalovány i mimo aplikační obchody Google Play, SamsungApps a dalších. Navíc, u Androidu se velmi často hovoří o malware aplikacích, které je potenciální hrozbou díky sběru a možnému odesílání citlivých dat. Neznámým aplikacím z Google Play stačí nevědomky umožnit volání na telefonní čísla nebo povolit posílání textových zpráv, a na konci vyúčtovacího období se můžete hodně divit.
Nakažené aplikace mohou odesílat citlivá data uživatelů, sdílet jejich pozici nebo dokonce zneužít Master Key Vulnerability. Při instalaci *.apk balíčků je jejich obsah podobný *.zip souboru. V balíčku je jednoznačně dána cesta do složky, která obsahuje digitálně podepsané kontrolní součty zbytku instalačního souboru. Pokud nedojde ke shodě, aplikace je odmítnuta a není nainstalována. Pokud je však v instalačním balíku klíčový soubor dvakrát, u prvního se verifikace nepodaří, ale místo něj se nainstalují data z druhého, a zde již bez ověření. V případě instalací z Google Play je bezpečnost trochu vyšší, protože na portále probíhají automatické skeny malwaru, ne všechen se ale podaří dohledat. Navíc, aplikace mohou být po publikování zobrazeny v obchodě již za několik hodin a to bez jakékoliv důkladné kontroly kódu.
Potenciální volnost uživatelů Androidu je právě jeho největší bezpečnostní hrozbou, které jsou si vědomy i firmy a korporace. Android rozhodně nemá status bezpečného mobilního systému, společnosti vědí, že potenciální problémy s bezpečností a možným unikem dat za to nestojí a tak se ve firemním segmentu poohlížejí raději po systému Windows Phone, který snáze zapadne do firemních struktur postavených na systémech a softwarových řešení Microsoftu, nebo po iOS.
Zabezpečený Android v aplikační rovině
V současné době se dá na smartphony Androidu doinstalovat řada MDM řešení (Mobile Device Management) třetích stran, z nichž mnohé se používaly již na starších mobilních platformách, a byly přepracovány pro Android. Na mysli máme např. Soti MobiControl nebo IBM Mobile Client, mezi další zástupce patří např. MaaS360, Citrix Mobile Connect nebo MobileIron Mobile@Work. V rámci využití těchto aplikací je zajištěna bezpečná a šifrovaná obousměrná komunikace, jedná se ale o doinstalovatelné aplikace, které se potenciálním problémům se zabezpečením nemusí zcela vyhnout.
Samsung KNOX slouží k oddělení soukromé a pracovní části Androidu, která může být navíc napojena na podnikové systémy
Na trhu dále existuje poměrně nové řešení, u kterého je bezpečnost vynucena již na hardwarové úrovni a pokračuje u softwaru. Nese název Samsung KNOX.
Jak KNOX funguje?
Při bootování Androidu může být původní kernel nahrazen jiným, který umožňuje root a práva superusera. Do kernelu může být přidán malware, takže uživatel vizuálně nepozná, že může být vystaven nebezpečí zcizení dat. První zábranou KNOXU je tedy mechasmus bezpečného bootu, který kontroluje, zdali je v telefonu použit kernel kryptograficky podepsaný ověřenými autoritami. Primární zavaděč potvrzuje PKI certifikátem integritu sekundárního zavaděče 1, obdobným způsobem se pokračuje u sekundárního zavaděče 2 a Android Boot Loaderu. Ten se načte jen v případě, že je v telefonu přítomen Samsung kernel s certifikátem jako důkazem integrity.
Mechanismus bootu, předešlé bootladery vždy ověřují integritu dalšího bootloaderu. Pokud kontrola dojde až na konec bez chyby, je v telefonu přítomen originální kernel podepsaný Samsungem
Druhým krokem je Trusted Boot, který doplňuje Secure Boot Androidu. V sektoru TrustedZone v ARM procesoru se v průběhu bootu ukládají kryptografické otisky jádra a bootloaderů. Tyto hodnoty jsou za běhu neustále kontrolovány, a pokud se změní, systém na to hned adekvátně zareaguje. Pokud se v případě KNOXu potvrdí, že na zařízení běží schválený Samsung firmware, klíče z TrustZone jsou poskytnuty ke kontrole. Pokud je na zařízení custom Android, úložiště klíče nevydá a Trusted Boot skončí neúspěchem.
Režim kontroly klíčů se nazývá Atestace, je založena na unikátnosti páru soukromého a veřejného klíče. Pří výrobě dostane každé zařízení unikátní pár klíčů a certifikáty pro veřejný klíč podepsané privátním klíčem Samsungu. Atestační severy náhodně zkouší zařízení na dálku, aby otestovaly jejich integritu. Hodnoty z TrustZone se porovnají s aktuálními hodnotami a výsledky se zašlou na atestační server k závěrečnému potvrzení.
Dělení na operační domény - princip jak pří případném prolomení minimalizovat ztráty informací
KNOX dále chrání Android nadstavbou SE for Android (Security Enhancements), která je postavena na technologii SELinux. Ta definuje, které aplikace či aplikací mají přístup k souborům a zdrojům, a jsou jim generovány přístupové politiky, které firemní uživatelé nemohou nijak změnit. SE for Android dělí operační systém na samostatné domény. V každé doméně jsou aplikacím dána minimální oprávnění na jejich běh, aby v případě prolomení jedné oblasti nedošlo k odhalení dat v jiných oblastech.
Aplikace v KNOXu nemají v základním nastavení přístup k datům a aplikacím v „běžném“ Androidu. To stejné platí i opačným směrem
Jedná se tedy o kontejnerové řešení, kdy aplikace v KNOXU nemají přístup k osobním datům či jiným nainstalovaným aplikacím, a to platí i obráceným směrem. Aplikace jsou navíc umístěny v separátní části Androidu, která se podobá běžnému Androidu. Kontejner umožňuje absolutní izolování a zabezpečení dat, aplikace jsou navíc zabaleny ve speciální vrstvě, která jim umožňuje, aby mohly být spuštěny v KNOXu.
V případě korporátního využití KNOXu musí být cílová aplikace odeslána na webový server, kde je rozbalena, jsou z ní extrahovány vývojářské certifikáty a poté je zabalena s dodatkovými soubory do nového balíčku. Ten je odeslán do kontrolního střediska Samsungu, které verifikuje možná bezpečnostní rizika aplikace, popř. detekuje, zdali aplikace neobsahuje nějaký druh škodlivého kódu. Jakmile je bezpečnost ověřena, aplikace je odeslána zpět zákazníkovi s tím, že je možné ji na KNOX nainstalovat. IT oddělení pak můžete tyto aplikace na dálku nainstalovat přes podporované MDM systémy do KNOX kontejneru nebo je lze nechat umístit do privátního obchodu s KNOX aplikacemi v dané firmě.
Data v KNOX kontejneru jsou šifrována 256bit šifrou AES, týká se to souborů a složek na paměťové kartě i v interní paměti
KNOX také řeší problém potenciálního nebezpečí zcizení nešifrovaných dat či obnovené dříve smazaných dat v interní paměti a na SD kartě. K dispozici je On-Device Encryption (ODE), které používá 256bit šifru AES, jenž šifruje interní i externí paměť. Šifrování je k dispozici i pro virtuální privátní sítě (Per-app VPN), kdy nemůže být přenos dat nijak odposloucháván. V neposlední řadě může IT administrátor zařízení s firemním KNOXem na dálku spravovat, monitorovat pozici, zablokovat či uvést do továrního nastavení.
