что такое папка knox в самсунге и где ее найти
Как это работает: Samsung Knox
Константин Иванов
Bring your own device
Множество людей используют свои личные телефоны для работы. Политика, получившая название BYOD (Bring Your Own Device, «принеси свое собственное устройство») становится все более популярной по мере того, как растут цены на телефоны, а потребительские модели становятся все более безопасными. Программы для корпоративного использования для мобильных устройств есть и у Apple, и у Google, но, возможно, одна из самых простых в использовании — как для вас, так и для любого IT-специалиста — это Samsung Knox.
Если вы являетесь владельцем устройства Galaxy не старше пары лет, тогда, вероятно, на нем есть Samsung Knox. Это не то, что требует установки, поскольку является частью ОС Android в варианте от Samsung, а не разновидностью приложения или библиотекой поддержки.
Knox – это часть Android, которая может быть предустановлена, и люди, которым он не нужен, знают, насколько сложным может быть его удаление. Knox также встроен в оболочку Tizen на носимых устройствах Samsung. Давайте посмотрим, что же такое Samsung Knox и что он умеет.
Что это такое?
Samsung Knox – это особый слой безопасности, который имеется в топовых телефонах Samsung и служит для того, чтобы отделять и изолировать личные и рабочие данные пользователя. Можно представить себе это как способ фактически превратить один телефон в два – именно так происходит управление приложениями и данными, которые эти приложения генерируют, как, впрочем, и данными, которые вы вносите в них сами.
Вы перемещаетесь между этими двумя слоями по тапу на иконку Knox и после ввода пароля. Пароль уникален и отличен от любых паролей, которые вы используете для разблокировки аппарата, так что даже если случится невероятное и кто-то обойдет экран блокировки, данные, защищенные Knox, останутся недоступны. Разве что не будут применены реально сложные способы, которые придумываются людьми, работающими над тем, чтоб обойти системы безопасности, а потом устранить уязвимости, чтобы эти способы больше не работали. Как, например, здесь.
По умолчанию, как только вы заходите в раздел своего телефона, защищенный Knox, у вас остается доступ только к нескольким приложениям – это Камера, Галерея, Почта, Мои файлы, Телефон, Контакты, браузер Samsung, Загрузки и S Planner. Вы можете добавлять и другие приложения в слой, защищенный Knox, и они будут «скопированы» туда, где их данные будут храниться отдельно от того же приложения на «обычном» слое вашего телефона.
Для работы Knox требуется два условия. Вам нужно подходящее устройство – не все телефоны Samsung (а также часы и планшеты) поддерживают Knox, вот их список. И вам нужен правильный софт: вы найдете Samsung Secure Folder в Play Store, если ищете с совместимого телефона, а если с устройства, на котором установка невозможна, то вы его и не увидите.
Есть и третий важный компонент, который может быть использован для корпоративных целей. Это Knox Premium или его эквивалент. Это не то, что имеет смысл использовать дома (хотя если очень хочется, то можно), и это возможность для IT-отдела управлять слоем Knox на телефонах, являющихся частью группы устройств с доступом к серверу. По сути, это облачное решение, созданное для работы с Knox, и безопасная платформа «под ключ».
Knox сертифицирован для использования правительством в Финляндии, Франции, Казахстане, Нидерландах, Испании, Великобритании и США. Также в определенных конфигурациях он соответствует стандартам FIPS_140-2 и ISCCC (китайский стандарт кибербезопасности). Это означает, что такие организации, как Министерство обороны США, уверены в безопасности использования Knox своими сотрудниками (с доступом к информации для служебного пользования). А это значит, он достаточно безопасен и для вас.
В Android Oreo Knox был включен в бизнес-решение от Google Android for Work, чтобы обеспечить защиту ядра Linux в реальном времени, проверку на вредоносные программы и части процедуры доверенной загрузки. Samsung использует электронный предохранитель eFuse, чтобы определить, было ли загружено неофициальное программное обеспечение, изменив проверку статуса гарантии на 0x1, когда попытка была обнаружена. И это не сбрасывает моментально настройки к заводским значениям.
Использовать или нет?
Использование Samsung Knox ни в коем случае не обязательно, и если вы не тот человек, что постоянно копается в софте своего телефона, вы можете и не узнать, что он там есть. Но если ваш телефон разработан с поддержкой Knox, то для вас это бесплатно, так что почему бы не попробовать.
Скорее всего, вы не обладаете секретной информацией и никто не следит за вами, пытаясь украсть ценные данные. Люди и организации, которые охотятся за пользовательскими данными, могут не воспринимать вас как непосредственную цель, но попади ваш телефон кому-то в руки, они могут попытаться выудить из него все что только возможно. Использование Knox для защиты информации, которая для вас ценна, это очень просто, а репутация у данного решения очень достойная.
Кроме того, Knox – отличный способ спрятать конкретные файлы и папки от тех, кто время от времени может иметь доступ к вашему телефону – дети, соседи по комнате и т.д. Если поместить приложение в Knox, его данные будут доступны только по паролю, а также можно использовать приложение My Files, чтобы спрятать файл или папку от нежелательных глаз.
Для повседневных задач вроде переписки вам вряд ли имеет смысл использовать Samsung Knox. Но если появляется хоть сколь-нибудь чувствительная информация – например, «то, что не стоит показывать маме», – Knox может пригодиться. Вам необязательно быть в большом бизнесе, чтобы стремиться обезопасить свои данные, а Samsung предлагает для этого очень удобный инструмент.
Вопрос к владельцам устройств Samsung – а вы, уважаемые читатели, пользуетесь Knox? Если да, то делитесь своими сценариями, если это, конечно, не секретная информация ☺
В разделе “Биометрия и безопасность” вы можете найти пункт “Защищенная папка”.
И также как сейф, он может быть расположен на виду или спрятан так, что, не зная о его существовании, его будет невозможно найти. В настройках “Защищенной папки” можно сделать так, чтобы она была видна в меню приложений, либо убрать ее вовсе. Не зная, что папка существует, вы не получите к ней доступ.
Что мне нравится с защищенной папкой, так это возможность назначить отдельный пароль или пин-код для доступа, они будут отличаться от тех, что вы используете для телефона. И это дополнительный уровень защиты. Но для удобства можно использовать отпечаток пальца, причем вы можете назначить на папку отдельный отпечаток, тогда при распознавании перед вами будет открываться папка. Несколько неправильных попыток, и вас попросят ввести пароль.
Что нам дает защищенная папка? Вы можете переместить в это зашифрованное пространство любые файлы, но также вы можете настроить здесь второй набор приложений, или они могут совсем другими, с иными аккаунтами. В этом защищенном пространстве фактически можно создать второй смартфон, который может совпадать с первым по набору приложений, а может быть совсем иным, выбор за вами. Хотите спрятать банковское приложение? Не вопрос, оно будет доступно только отсюда. Хотите убрать с глаз долой приложение для знакомств? Оно будет ждать своего часа в этой закрытой области.
Приложения, спрятанные в защищенной папке, продолжают работать, общаться с внешним миром. Но в обычном режиме смартфона вы не видите их уведомлений, вам нужно войти в папку. С другой стороны, вы точно знаете, что они есть, если не спрятали саму папку, иконка показывает, что произошли какие-то события.
У меня в защищенной папке хранятся заметки с паролями от разных сервисов, другая важная информация, фотографии устройств, которые еще не анонсированы, но с которыми мы работаем. Корпоративная почта также находится в этой папке. И даже если мой телефон будет потерян, кто-то сможет ухитриться и разблокировать его, информация в защищенной папке останется нетронутой. Вот что такое безопасность на наивысшем уровне и при этом не требующая никаких танцев с бубнами, хитрых схем и постоянного напряжения.
На мой взгляд, прелесть этого решения в том, что оно очень простое для применения на практике, нет никакой необходимости в чем-то сложном, это просто дополнительный вход в отдельное, защищенное пространство вашего смартфона. И технология KNOX обеспечивает защиту этого места. В разных рейтингах безопасности KNOX занимает высшие строчки, на данный момент это самое защищенное решение, что доступно на открытом рынке в массовых продуктах. И при этом KNOX используется множеством корпораций для своих сотрудников, на его основе создаются корпоративные системы.
Многие чувствительные к безопасности решения в смартфонах базируются на системах защиты от KNOX, например, это данные платежной системы Samsung Pay, они шифруются и хранятся в защищенной области. Ровно то же самое относится к вашим отпечаткам пальцев, которые защищает KNOX. В Samsung последовательно улучшают защиту устройств, причем это многоуровневый процесс. Например, в 2019 году для датчиков отпечатков, встроенных в экран, компания изменила алгоритмы. Трехмерные силиконовые слепки пальцев не обманут датчик отпечатка, тем более это не сделают фотографии или отпечатки на скотче. Планомерное усиление системы безопасности связано с тем, что смартфоны должны обеспечивать максимальный уровень защиты данных в хранилище KNOX. И получать высокие оценки в рейтингах невозможно, если какой-то элемент защиты относительно слаб и его можно обойти. Самое главное, что это комплексное решение, которое позволяет расширять функциональность практически до бесконечности, создавать дополнительные приложения и находить ниши, где безопасность важна.
В Galaxy Note10/10+ впервые появились криптокошельки, они также защищены KNOX. Вы можете хранить вашу валюту в таком блокчейн-кошельке, он легко настраивается. Но за кажущейся легкостью скрывается то, что это максимальная защита из возможных. Такой кошелек на компьютере по умолчанию имеет намного меньший уровень защиты, так как вам надо озаботиться самостоятельно тем, как вы будете его защищать. Тут же эту головную боль с вас снимают, максимальный уровень защиты и простота использования.
Просто о важном: как Knox защищает данные на смартфонах Samsung
Безопасность мобильных устройств – одна из тех тем, что становятся все актуальнее по мере развития технологий. Если несколько лет назад самой конфиденциальной информацией на обычном смартфоне были личные фотографии, то сегодня ставки намного выше: на гаджетах хранятся и данные банковских карт, и сводки о состоянии здоровья, и даже электронные «ключи» к дверям от квартиры.
Для защиты данных пользователей компания Samsung создала платформу Samsung Knox, которая встраивается в смартфоны, планшеты, носимые устройства и даже бытовую технику на этапе производства. Она состоит из пересекающихся механизмов защиты и обеспечения безопасности, которые помогают оградить информацию пользователя от внешних угроз.
Что же это означает для пользователей на практике?
Безопасность даже на выключенном смартфоне
Злоумышленники не смогут воспользоваться устройством, если гаджет будет потерян или украден. Данные из приложений и сервисов Samsung, таких как Samsung Pay, Samsung Health и Samsung Pass хранятся только в зашифрованном виде. Любые попытки несанкционированного доступа отслеживаются внутренней платформой KNOX, и о них сообщается пользователю.
Чтобы обеспечить необходимый уровень безопасности, система защиты должна быть встроена в устройство на всех уровнях, начиная от микросхем, заканчивая системным ПО и приложениями. Компания полностью контролирует все этапы производства своих устройств, от проектирования отдельных компонентов и схем, до финальной сборки и установки операционной системы, потому пользователи Galaxy могут быть спокойны за сохранность всей информации на девайсе.
Контроль безопасности начинается ещё на этапе загрузки устройства, когда проверяется наличие изменений в ПО телефона и ядре ОС.
Далее, уже во время работы, отдельный компонент, построенный на основе технологии TIMA, в режиме реального времени отслеживает целостностью ядра ОС.
Отдельно стоит отметить механизм защиты от несанкционированного доступа приложений или процессов к данным или ресурсам, которые им иметь не положено. Это достигается за счёт использования механизма Security Extension для Android (SE for Android). Именного благодаря нему приложения вне защищенной папки не имеют доступа к данным внутри нее.
В случае если один из механизмов проверки выявляет какие-то проблемы в безопасности (взлом устройства, несанкционированное получение прав рута и т.д.), смартфон автоматически блокирует определенные области.
Безопасность на всех уровнях
Встроенные в каждое устройство Samsung механизмы обеспечения безопасности гарантируют надежную защиту данных на протяжении всего жизненного цикла смартфона.
Например, Knox защищает финансовую информацию сервиса Samsung Pay, позволяющего оплачивать покупки с помощью смартфона. При обнаружении вредоносного ПО с наличием Root-прав или неофициальной прошивки, Knox блокирует доступ к Samsung Pay, Защищенной папке и контейнеру.
Защищенная папка позволяет хранить личные файлы, изображения и даже приложения в отдельной изолированной области памяти смартфона, что по концепции сравнимо с двумя независимыми телефонами. Пользователь может перемещать данные в защищенную папку и копировать их из нее, а также выбирать тип блокировки для доступа к папке (графический рисунок, пароль, сканер отпечатка пальца или радужки глаза). Если смартфоном пользуются несколько человек, владелец может создать несколько учетных записей и поделиться доступом к определенным приложениям с каждым из пользователей. Даже если устройство попадет в руки злоумышленников и они попытаются совершить хакерскую атаку, папка самоуничтожится.
Samsung Knox защищает и биометрические данные в Samsung Pass – удобном сервисе, предоставляющем безопасный доступ к информации с помощью биометрической идентификации. Функция запоминает ранее введенные пароли на веб-сайтах и при дальнейших посещениях позволяет воспользоваться автозаполнением. Для входа на сайт необходимо пройти верификацию одним из трех способов: сканер радужки глаза, отпечаток пальца или распознавание лица.
Защита оборонного класса
Knox доверяют эксперты по безопасности по всему миру: у этой платформы больше сертификаций от государственных органов, чем у любого другого решения на рынке.
Мобильные устройства Samsung сертифицированы 32 службами безопасности по всему миру, включая Национальное агентство по системам безопасности Франции, Финляндии и Кореи.
Кроме того, платформа получила рейтинг “strong” в 27 из 30 категорий в исследовании Gartner от мая 2019 года.
Knox для корпоративных решений
Концепция «мобильного рабочего места», популярная на Западе, постепенно внедряется и в России. Сотрудники сами определяют, где им удобно работать, но это не избавляет их от ответственности сохранять конфиденциальность корпоративных данных. Именно по этой причине во многих компаниях сотрудникам могут не разрешить работать удаленно и использовать смартфон в качестве платформы для хранения корпоративной информации. Knox предназначена для безопасной работы пользователей с мобильными устройствами, которые могут придерживаться того стиля работы, который им удобен – гаджет будет защищен от несанкционированного доступа и вредоносных атак.
Решение включает в себя:
Папка KNOX на Samsung
Аппаратный корень доверия
Удаление и отключение приложений
Вы можете просто удалить приложения, а для тех, где это недоступно (встроенные приложения Samsung) — отключить их. При этом они пропадут из меню приложений и перестанут работать, присылать уведомления, потреблять трафик и энергию.
При необходимости, в дальнейшем вы можете снова включать отключенные системные приложения.
Если забыл пароль
Забывать пароль крайне нежелательно. Если восстановить доступ к телефону в целом и сбросить пароль можно при помощи аккаунта Google, то защищенная папка так просто не откроется. Для того чтобы попасть в нее, нужен только пароль или графический ключ, который был придуман на старте. Для надежности не стоит придумывать что-то слишком сложное. Если есть возможность записать пароль куда-то таким образом, чтобы даже при обнаружении не было понятно, что это за набор символов, то есть смысл сделать соответствующую заметку. Хотя это сильно подорвет защиту в любом случае.
Итог: если забыл пароль от защищенной папки, то посмотреть ее содержимое нельзя.
Использовать защищенную папку можно на всех смартфонах компании Samsung под управлением Android, начиная с бюджетных A01–A50 и заканчивая топовой линейкой Galaxy S.
Удаление и отключение KNOX
Существует несколько вариантов избавить от оповещений, которые поступают от безопасной среды. Чтобы отключить уведомления, следует воспользоваться утилитой «KNOX Disabler». Ее установка возможна только на рутированных устройствах. После запуска останется нажать кнопку «Disable».
Второй вариант отключения оповещений заключается в применении Android Terminal Emulator. После запуска и предоставления прав суперпользователя, нужно ввести команду «su pm disable com.sec.knox.seandroid».
Почему Android недостаточно защищена
Еще в Android 7 Nougat появилась функция dm-crypt для шифрования всех данных на носителе. Но на 100% она не защищает. Дело в том, что у каждого Android-пользователя есть доступ к файловой системе. И если злоумышленник сможет выдать себя за владельца устройства с помощью социальной инженерии, то в его руках окажется все!
А еще приложения могут перехватывать данные друг у друга. Так вредоносное ПО может «вытянуть» информацию из других приложений. Наконец, есть шпионское ПО, считывающее данные, которые вы вводите на клавиатуре и отслеживающее касания по сенсорному экрану.
Как Samsung Knox работает на аппаратном уровне
Платформа Samsung Knox включает аппаратную часть и программные инструменты защиты — это обеспечивает более высокий уровень надежности по сравнению с другими, исключительно программными средствами защиты.
В процессе сборки устройств Samsung на них записывают DRK и DUHK — уникальные криптографические ключи.
DUHK — это аппаратный ключ для проверки целостности гаджета. Он покажет, например, что в смартфоне заменили аккумулятор или что в него установили жучок.
DRK — это корневой ключ. Он подтвердит, что ваш гаджет произвела именно компания Samsung. Это значение нельзя скопировать на другое устройство.
Knox защищает ваши данные и на уровне процессора. Фактически здесь есть разделение на две независимые среды. Все приложения работают в общей зоне, но также есть Trustzone — защищенная область с собственной операционной системой. Работа приложений не влияет на Trustzone, поэтому даже если на вашем устройстве появился вредонос, он не похитит ваши данные.
В флагманских смартфонах Galaxy S20 и Galaxy Note20 установлены дополнительные процессоры для обеспечения безопасности. Если они обнаружат, что температура или напряжение в устройстве неестественно менялись, сразу сообщат об этом. Также процессоры шифруют данные в приложениях и не дают сбросить счетчик ошибочных попыток разблокировать устройство.
Как работать с KNOX Samsung
Активная защита KNOX на Android не требует особого вмешательства. При запуске она проверяет целостность ядра системы, а также запущенные приложения. Если они пытаются выполнить действия, которые им не разрешены, то отключаются. Если приложение запускается в среде KNOX, оно жёстко контролируется, и любые его попытки выполнить неразрешённое действие будут блокироваться. Пользователь сам может выбрать, что ему позволить, а что запретить. Активная защита KNOX включена по умолчанию, но можно её и отключить.
Третий вариант
Перейдите по указанной ниже ссылке и скачайте приложение Titanium Backup. После его запуска на экране вашего устройства отобразится файловый список.
Выберите в меню вариант «Заморозить», после чего произведите перезагрузку устройства.
Рис.8 Рабочие окна Titanium Backup.
Ссылка на скачивание приложения Titanium Backup:
Вариант первый
Активируйте функцию KNOX Disabler. Для того, чтобы воспользоваться этим понадобится получить root-права.
После их получения скачайте и установите на свой телефон небольшую утилиту под названием Service Disabler.
Рис.6 Приложение Service Disabler.
Ссылка на скачивание утилиты: https://play.google.com/store/apps/details?id=com.kunkunsoft.rootservicedisabler&hl=ru
Затем вам останется запустить данное приложение и нажать на соответствующую кнопку (кнопка Disabler).
: Отключаем Knox через Android Terminal Emulator
Можно ли удалить «Кнокс»?
К сожалению, не на всех мобильных устройствах есть возможность полностью удалить KNOX. Чтобы проверить это, нужно выполнить определённые действия. Для владельцев более ранних моделей Samsung алгоритм будет следующим:
В более новых моделях смартфонов выполнить деинсталляцию можно с помощью предустановленного помощника Smart Manager. Порядок действий будет таков:
Дизайн
Отдельного внимания заслуживает использующийся в системе электронный предохранитель, прозванный счетчиком. Он показывает несанкционированное вмешательство: перепрошивку ядра, загрузчика или Recovery на кастомный вариант. Также отображается получение прав суперпользователя.
Срабатывание предохранителя закрывает пользователю возможность оплаты покупок через сервис мобильных платежей. Соответственно закрывается создание безопасного рабочего пространства или получение доступа к сохраненным ранее данным. Извлеченные с системы сведения используются для отказа в предоставлении гарантийного обслуживания, в случае выхода устройства из строя в ходе перепрошивки. Хотя в некоторых смартфонах присутствует возможность сброса счетчика KNOX путем возвращения к заводским настройкам с потерей всей пользовательской информации.
Как работает KNOX
Комплекс KNOX доступен на смартфонах Samsung, начиная с модели Galaxy S3 и более новых. Теоретически, возможна установка и на другие устройства, но официально этого никто не гарантирует.
Основной элемент KNOX – своего рода виртуальная система Android, находящаяся «внутри» основной ОС. Она создает полностью изолированную программную среду, обладающую собственной зашифрованной файловой системой, доступ к которой без KNOX получить невозможно. Вместе с тем, в Samsung допускают возможность чтения данных, расположенных вне этой оболочки, не покидая ее.
При старте системы механизм защиты целостности архитектуры проверяет ядро ОС на предмет отсутствия несанкционированных вмешательств. Теоретически, это исключает вероятность модификации Android силами третьих лиц, для создания «закладок». Но есть у этого механизма и минус, заключающийся в некорректной работе root-доступа (если таковой требуется владельцу).
После проверки целостности ядра происходит защищенная загрузка KNOX, механизм которой проводит контроль автозапуска. Основное назначение данной функции – предотвращение выполнения задач, на фоновую работу которых пользователь не давал разрешения.
Каждым приложением внутри контейнера KNOX можно управлять, контролируя уровень доступа. Это позволяет избежать случаев, когда программа запрашивает разрешение на использование функций, которые в нем не реализованы.
Поддержка виртуальных частных сетей VPN предоставляет возможность не беспокоиться о том, что ценные корпоративные данные станут предметом утечки при подключении к незащищенным публичным и домашним сетям.