5 июля 2019
Как это работает: Samsung Knox
Константин Иванов
По материалам androidcentral.com
Bring your own device
Множество людей используют свои личные телефоны для работы. Политика, получившая название BYOD (Bring Your Own Device, «принеси свое собственное устройство») становится все более популярной по мере того, как растут цены на телефоны, а потребительские модели становятся все более безопасными. Программы для корпоративного использования для мобильных устройств есть и у Apple, и у Google, но, возможно, одна из самых простых в использовании — как для вас, так и для любого IT-специалиста — это Samsung Knox.
Если вы являетесь владельцем устройства Galaxy не старше пары лет, тогда, вероятно, на нем есть Samsung Knox. Это не то, что требует установки, поскольку является частью ОС Android в варианте от Samsung, а не разновидностью приложения или библиотекой поддержки.
Knox – это часть Android, которая может быть предустановлена, и люди, которым он не нужен, знают, насколько сложным может быть его удаление. Knox также встроен в оболочку Tizen на носимых устройствах Samsung. Давайте посмотрим, что же такое Samsung Knox и что он умеет.
Что это такое?
Samsung Knox – это особый слой безопасности, который имеется в топовых телефонах Samsung и служит для того, чтобы отделять и изолировать личные и рабочие данные пользователя. Можно представить себе это как способ фактически превратить один телефон в два – именно так происходит управление приложениями и данными, которые эти приложения генерируют, как, впрочем, и данными, которые вы вносите в них сами.
Вы перемещаетесь между этими двумя слоями по тапу на иконку Knox и после ввода пароля. Пароль уникален и отличен от любых паролей, которые вы используете для разблокировки аппарата, так что даже если случится невероятное и кто-то обойдет экран блокировки, данные, защищенные Knox, останутся недоступны. Разве что не будут применены реально сложные способы, которые придумываются людьми, работающими над тем, чтоб обойти системы безопасности, а потом устранить уязвимости, чтобы эти способы больше не работали. Как, например, здесь.
По умолчанию, как только вы заходите в раздел своего телефона, защищенный Knox, у вас остается доступ только к нескольким приложениям – это Камера, Галерея, Почта, Мои файлы, Телефон, Контакты, браузер Samsung, Загрузки и S Planner. Вы можете добавлять и другие приложения в слой, защищенный Knox, и они будут «скопированы» туда, где их данные будут храниться отдельно от того же приложения на «обычном» слое вашего телефона.
Для работы Knox требуется два условия. Вам нужно подходящее устройство – не все телефоны Samsung (а также часы и планшеты) поддерживают Knox, вот их список. И вам нужен правильный софт: вы найдете Samsung Secure Folder в Play Store, если ищете с совместимого телефона, а если с устройства, на котором установка невозможна, то вы его и не увидите.
Есть и третий важный компонент, который может быть использован для корпоративных целей. Это Knox Premium или его эквивалент. Это не то, что имеет смысл использовать дома (хотя если очень хочется, то можно), и это возможность для IT-отдела управлять слоем Knox на телефонах, являющихся частью группы устройств с доступом к серверу. По сути, это облачное решение, созданное для работы с Knox, и безопасная платформа «под ключ».
Knox сертифицирован для использования правительством в Финляндии, Франции, Казахстане, Нидерландах, Испании, Великобритании и США. Также в определенных конфигурациях он соответствует стандартам FIPS_140-2 и ISCCC (китайский стандарт кибербезопасности). Это означает, что такие организации, как Министерство обороны США, уверены в безопасности использования Knox своими сотрудниками (с доступом к информации для служебного пользования). А это значит, он достаточно безопасен и для вас.
В Android Oreo Knox был включен в бизнес-решение от Google Android for Work, чтобы обеспечить защиту ядра Linux в реальном времени, проверку на вредоносные программы и части процедуры доверенной загрузки. Samsung использует электронный предохранитель eFuse, чтобы определить, было ли загружено неофициальное программное обеспечение, изменив проверку статуса гарантии на 0x1, когда попытка была обнаружена. И это не сбрасывает моментально настройки к заводским значениям.
Использовать или нет?
Использование Samsung Knox ни в коем случае не обязательно, и если вы не тот человек, что постоянно копается в софте своего телефона, вы можете и не узнать, что он там есть. Но если ваш телефон разработан с поддержкой Knox, то для вас это бесплатно, так что почему бы не попробовать.
Скорее всего, вы не обладаете секретной информацией и никто не следит за вами, пытаясь украсть ценные данные. Люди и организации, которые охотятся за пользовательскими данными, могут не воспринимать вас как непосредственную цель, но попади ваш телефон кому-то в руки, они могут попытаться выудить из него все что только возможно. Использование Knox для защиты информации, которая для вас ценна, это очень просто, а репутация у данного решения очень достойная.
Кроме того, Knox – отличный способ спрятать конкретные файлы и папки от тех, кто время от времени может иметь доступ к вашему телефону – дети, соседи по комнате и т.д. Если поместить приложение в Knox, его данные будут доступны только по паролю, а также можно использовать приложение My Files, чтобы спрятать файл или папку от нежелательных глаз.
Для повседневных задач вроде переписки вам вряд ли имеет смысл использовать Samsung Knox. Но если появляется хоть сколь-нибудь чувствительная информация – например, «то, что не стоит показывать маме», – Knox может пригодиться. Вам необязательно быть в большом бизнесе, чтобы стремиться обезопасить свои данные, а Samsung предлагает для этого очень удобный инструмент.
Вопрос к владельцам устройств Samsung – а вы, уважаемые читатели, пользуетесь Knox? Если да, то делитесь своими сценариями, если это, конечно, не секретная информация ☺
Использую, когда нужна вторая копия приложения.
Было бы актуально без блокировки телефона, а с блокировкой очень сомнительный смысл секретной папки, которая находится на виду.
Вот как приходится извращаться, если работа с профилями и правами доступа не решена на системном уровне. Впрочем, получилось тоже неплохо.
Да ну, в AOSP есть профили. Прямо из шторки
Хотелось бы почитать сравнение.
«Если вы являетесь владельцем устройства Galaxy не старше пары лет, тогда, вероятно, на нем есть Samsung Knox.»
На SGN3 Knox уже был.
На старых самсунгах KNOX превратился в тыкву: его сейчас невозможно активировать, потому что остановлены соответствующие сервера. А до Secure Foldef можно обновить только относительно новые модели.
На моем SGN4 кнокс активирован до умирания серверов и поэтому до сих пор работает, без сетевых возможностей, конечно. Активировать старый кнокс повторно, к примеру, после сброса будет невозможно.
Тупая прога, после рута перестал работать spay, а без рута я не мог пользоваться самсунгом тк софт вообще неудобный
Любопытно, а можете сказать что не так?
Наверное, самсунг и покупают из-за соотношения софта-железа, которое доступно «из коробки». Для всех остальных целей есть другие смарты… Кстати, реально интересно чем неудобен софт)
Это тупой юзер. Любая инструкция по рутованию самсунгов предупреждает, что Кнокс и самсунг пей после рута перестанет работать.
Тупо сделано, выбора не дают, если я хочу рут зачем меня ограничивать
Никто и не ограничивает. Кому нужен рут, тот делает рут.
Но уже без самсунг пея.
Это и есть ограничения
Не совсем так. Самсунг не гарантирует работу сервисов на модифицированной прошивке. Собственно, правильно делает, мало ли что там намодифицировали. А то даст такой «продвинутый юзер» доступ троянку в папку кнокс и потом будет орать на всех форумах, какое самсунг дырявое г..но.
Так что выбор у вас есть: пользоваться сервисами самсунг на родной прошивке самсунг либо юзать другую прошивку без поддержки самсунговских сервисов.
либо не пользоваться телефонами от самсунг… что, в итоге, я и выбрал)) рут на телефоне есть. spay работает на часах.
Это тупой юзер. Любая инструкция по рутованию самсунгов предупреждает, что Кнокс и самсунг пей после рута перестанет работать.
Никогда не использовал. Т.к. совсем непонятно что будет с этими зашифрованными данными в случае утраты аппарата или какого-нибудь сбоя в прошивке. Поэтому использую Сейф+ и синхронизатор для него, с помощью которых зашифрованную базу данных можно выгрузить куда угодно и при необходимости легко перенести на другой аппарат.
Его же вроде закрывать собирались — передумали?
все обращения ко мне это утеря пароля или невозможность зайти в зашифрованные программы, а как с восстановлением доступа у Кнокса?
Одно время пользовался Защищённой папкой на Galaxy s6 дуос, добавив в неё рабочую почту, клиенты банков, второй Вотсапп/Вайбер для работы (по второй симке). Доступ в папку по отпечатку пальца, но при перезагрузке телефона всегда сначала пароль.
Так вот, обнаружил, что если после перезагрузки телефона, сразу после появления на рабочем столе значков войти в Защищённую папку, она без пароля свободно открывается! Я могу войти в почту, открыть письмо! Либо любое другое приложение, галерея, Вотсапп.. Времени на это немного, буквально несколько секунд. Затем запрашивает пароль в папку.
Предполагаю, чем больше приложений в телефоне запускается при загрузке телефона, тем больше времени есть на «покопаться в защищённой папке» пока она не одумается запрашивать пароль.
Вот тебе и хваленая защита..
Главный недостаток Кнокса — невозможность его нормального полного отключения/удаления, хотя, сейчас это уже не так актуально, как на 6 андроиде, можно и обойтись…
Два года назад Samsung официально отказался от KNOX и оставил только Защищенную папку. Или это какой-то третий KNOX?
Защищенная папка и есть кнокс, просто не всем было ясно, что это такое
Не люблю вендорлок.
Для важных данных пользую шифрованный диск в облаке: и надежно, и доступ есть откуда угодно, хоть с компа, хоть с яблока, хоть с ксяоми.
Очень неплохо было бы иметь в Knox помимо резервной копии в облаке еще и синхронизацию с другим устройством Samsung с тем же аккаунтом. Тогда вероятность потери данных в виде сбоя на устройстве была бы минимальна. А плюс к тому — возможность работы с защищёнными данными на другом устройстве.
Зачем этот Кнокс так и не понял. В Айфонах нет никаких кноксов и все секьюрно и безопасно.
Это очередная хрень для хомяков которая позволяет им прятать данные от других хомяков. И паралельно делится ими с корпорацией для маркетинговых исследований и продажи это-же инфы. Кстати имея кнокс и обновив смарт до новой версии андроид откатиться нельзя никак.
Думаю, что, если США довольны безопасностью этой программы — значит они имеют к ней беспрепятственный доступ. Ну, это мое личное мнение.