защищенный телефон с KNOX. Часть 2
Уффф, тяжело мне далась технология Knox. Долго думала, как объяснить, чтобы всё было понятно.
Архитектура защиты у него мудрёная: в интернете много написано, но всё как-то «интересно, но ничего не понятно».
Этот пост — выстрадан мною за день.
Итак, если убрать 500 тысяч терминов, то суть безопасности Knox такова:
🔒 Физическая защита на уровне железа
Все чувствительные данные (биометрия, ключи шифрования, Samsung Pay и т.д.) хранятся на отдельном чипе — Knox Vault. В обычном Android всё на одном «острове»: если туда попадут пираты, всем будет плохо. Knox Vault — это отдельный остров с замком Иф: пираты туда не попадут, связи с внешним миром почти нет. Даже если хакер получит root-доступ к основной системе, чип останется под защитой и его взлом — дорого и долго.
🛡 Две ОС в одном устройстве
Secure Folder — вторая виртуальная ОС внутри устройства: можно запускать два разных WhatsApp/Telegram одновременно. Данные между контейнерами не пересекаются, даже при root-доступе к основной системе. Удобно для IT-спецов и админов: есть множество настроек рабочего пространства. Тотальная изоляция процессов на уровне ядра. Актуально для бизнеса с коммерческой тайной и для параноиков, если хотите, чтобы никто не совал даже пол носа в ваши дела.
🛠 Обнаружение root-доступа и взлома
Система автоматически определяет вмешательства и блокирует доступ. Если кто-то попытается залезть в систему даже на уровне ядра, Knox сработает. Проверка целостности не только при загрузке, но и в процессе работы телефона: калька для сравнения хранится в чипе из п.1.
🔄 Постоянные обновления защиты
Обновления безопасности приходят раз в месяц, а при критических угрозах — чаще. Для IT-админов есть плюшки по управлению обновлениями.
🔐 Шифрование данных
Все данные шифруются. Даже при физическом доступе злоумышленник ничего не сделает, даже если у него будет тотальный доступ (рут): если Knox унюхает серьёзные изменения и на уровне ядра (при взломе), ключи для расшифровки данных будут безвозвратно удалены тут же. Минус: восстановить данные не получится.
🎯 Идеально для тех, за кем следят спецслужбы
Я так понимаю даже прослушку на телефон не установить. Можно полностью отключить доступ к микрофону, камере и интернету, и сделать так, что на устройстве будут работать только несколько приложений - это «Киоск режим». «Полностью отключить» в конкс - это не значит выключить бегунок в разрешениях приложений, а будто вы физически выдернули модуль микрофона из телефона. Киоск режим - это как тюрьма особо строгого режима, где камеры заключенных - это приложения. Ну и кнокс сертифицирован для использования военными! А это не мало.
💰 Супер плюшка от Samsung!
На Knox открыт багбаунти с призом в $1 млн. Хакеры официально пытаются его взломать за деньги, а Samsung закрывает дыры и платит вознаграждение.
Переходите в мой канал cyberminimal в телеграм. Там интереснее!
Telegram @cyberminimal
почта: info@cybercours.ru