Samsung Knox

Samsung Knox
Información general
Tipo de programa	software
Desarrollador	Samsung
Enlaces
	Sitio web oficial
	[editar datos en Wikidata]

Samsung Knox es un marco de administración y seguridad patentado preinstalado en la mayoría de los dispositivos móviles de Samsung. Su objetivo principal es proporcionar a las organizaciones un conjunto de herramientas para administrar los dispositivos de trabajo, como los teléfonos móviles de los empleados o los quioscos interactivos.^[1] Knox brinda un control más granular sobre el perfil de trabajo estándar para administrar las capacidades que solo se encuentran en los dispositivos Samsung.^[2]

Las funciones de Knox se dividen en tres categorías: seguridad de datos, capacidad de administración de dispositivos y capacidad de VPN.^[3] Knox también proporciona servicios basados en web para que las organizaciones administren sus dispositivos. Las organizaciones pueden personalizar sus dispositivos móviles administrados configurando varias funciones, incluidas aplicaciones precargadas, configuraciones, animaciones de inicio, pantallas de inicio y pantallas de bloqueo.^[4]

A partir de diciembre de 2020, las organizaciones pueden usar cámaras específicas de dispositivos móviles de Samsung como lectores de códigos de barras, usando los servicios de Knox para capturar y analizar los datos.^[5]

Descripción general[editar]

Samsung Knox proporciona funciones de seguridad de hardware y software que permiten que el contenido comercial y personal coexista en el mismo dispositivo. Knox integra servicios web para ayudar a las organizaciones a administrar flotas de dispositivos móviles, lo que permite a los administradores de TI registrar nuevos dispositivos, identificar un sistema de administración unificada de puntos finales (UEM), definir las reglas organizacionales que rigen el uso de dispositivos y actualizar el firmware de los dispositivos.^[6] Los desarrolladores pueden integrar estas funciones con sus aplicaciones utilizando Knox SDK y REST API.^[7]

Servicios[editar]

Samsung Knox proporciona los siguientes servicios basados en web para organizaciones:

Para administrar dispositivos móviles: Knox Suite, Knox Platform for Enterprise, Knox Mobile Enrollment, Knox Manage y Knox E-FOTA.^[6]
Para personalizar y cambiar la marca de los dispositivos: Knox Configure.^[8]
Para capturar y analizar datos: Knox Capture,^[9] Knox Peripheral Management,^[10] Knox Asset Intelligence.^[11]

La mayoría de los servicios se registran y se accede a ellos a través de las consolas web de Samsung Knox,^[12] y se accede a algunos a través del SDK de Samsung Knox.^[13]

Knox Capture[editar]

Knox Capture utiliza la cámara de un dispositivo móvil Samsung para capturar todas las simbologías de códigos de barras principales, como UPC, Código 39, EAN y QR. A través de una consola web, los administradores de TI pueden administrar la configuración de entrada, formato y salida de datos de códigos de barras escaneados y asociar una aplicación de dispositivo (por ejemplo, un navegador de Internet para datos QR).^[14]

Knox Asset Intelligence[editar]

Knox Asset Intelligence ayuda a las organizaciones a mejorar la gestión, la productividad y el ciclo de vida de los dispositivos móviles. A través de una consola web, los administradores de TI pueden monitorear la administración de la batería del dispositivo, la información sobre el uso de la aplicación, el seguimiento integral del dispositivo y el análisis detallado de Wi-Fi.^[15]

Software[editar]

Contenedlr[editar]

Cuando Samsung Knox debutó con el Galaxy S3 en 2013, incluía una función de contenedor patentada que almacenaba aplicaciones y datos sensibles a la seguridad dentro de un entorno de ejecución protegido.^[16] Los usuarios de dispositivos pueden cambiar entre aplicaciones personales y comerciales tocando un icono de Knox en la esquina inferior izquierda de la pantalla del dispositivo.^[17] El contenedor propietario, más tarde llamado Knox Workspace, fue administrado por organizaciones a través de un sistema UEM.^[18]

Luego, Samsung escindió las versiones para el consumidor de la función de contenedor, que no requería un sistema UEM para administrar. Estas versiones para el consumidor incluían Personal Knox, más tarde llamado My Knox a partir de 2014. My Knox fue reemplazado por Secure Folder en 2017.^[19]

En 2018, Samsung se asoció con Google para usar su perfil de trabajo de Android para proteger aplicaciones y datos, y en 2019 dejó de usar el contenedor Knox Workspace.^[20] Samsung continúa preinstalando Secure Folder en la mayoría de los dispositivos móviles estrella, pero los consumidores deben habilitarla para su uso.^[21]

Protección del núcleo en tiempo real de Samsung (RKP)[editar]

La función Samsung RKP rastrea los cambios del kernel en tiempo real y evita que el teléfono se inicie, además de mostrar un mensaje de advertencia sobre el uso de dispositivos Samsung "no seguros".^[22] Esta característica es análoga a Android dm-verity/AVB y requiere un gestor de arranque firmado.^[23]

Mejoras de seguridad para Android (SE para Android)[editar]

Aunque los teléfonos Android ya están protegidos contra códigos maliciosos o exploits por SE para Android y otras funciones, Samsung Knox brinda actualizaciones periódicas que buscan parches para proteger aún más el sistema.^[24]

Arranque seguro (Secure Boot)[editar]

Durante el Arranque seguro, Samsung ejecuta un entorno de prearranque para comprobar si hay una coincidencia de firma en todos los elementos del sistema operativo (SO) antes de arrancar en el kernel principal. Si se detecta un cambio no autorizado, el fusible electrónico se dispara y el estado del sistema cambia de "Oficial" a "Personalizado".^[25]

Otras características[editar]

Samsung Knox incorpora otras características que facilitan el uso empresarial, incluido Samsung KMS (SKMS) para servicios eSE NFC, administración de dispositivos móviles (MDM), administración de certificados Knox (CEP), inicio de sesión único (SSO), contraseña de un solo uso (OTP), gestión de PIN de SIM, firmware por aire (FOTA)^[26] y red privada virtual (VPN).^[27]^[28]^[29]^[30]

Samsung ha parcheado el kernel para evitar que se otorgue acceso de root a las aplicaciones, incluso después de que el enrutamiento fuera exitoso desde el lanzamiento de Android Oreo. Este parche evita que las aplicaciones no autorizadas cambien el sistema y disuade el rooting.^[31]

Hardware[editar]

Knox incluye funciones de seguridad de hardware integradas ARM TrustZone (una tecnología similar a TPM) y una ROM de cargador de arranque.^[32] Knox Verified Boot monitorea y protege el teléfono durante el proceso de arranque, junto con la seguridad de Knox integrada a nivel de hardware (introducida en Knox 3.3).^[33]

e-Fuse[editar]

Los dispositivos Samsung Knox usan un e-fuse para indicar si alguna vez se ejecutó una ruta de arranque "no confiable" (que no es de Samsung). El e-fuse se configurará si el dispositivo arranca con un gestor de arranque, kernel, secuencia de comandos de inicialización del kernel o datos que no sean de Samsung. Cuando se establece, aparece el texto "Establecer bit de garantía: <motivo>". Rootear el dispositivo o flashear una versión de Android que no sea de Samsung también establece el e-fuse. Una vez que se configura el e-fuse, un dispositivo ya no puede crear un contenedor Knox Workspace ni acceder a los datos previamente almacenados en un Knox Workspace existente.^[34] En los Estados Unidos, Samsung puede utilizar esta información para denegar el servicio de garantía a los dispositivos que hayan sido modificados de esta manera.^[35] La anulación de las garantías del consumidor de esta manera puede estar prohibida por la Ley de Garantía Magnuson-Moss de 1975, al menos en los casos en que el problema del teléfono no sea causado directamente por el rooteo.^[36] Además de anular la garantía, activar el e-fuse también evita que se ejecuten algunas aplicaciones específicas de Samsung, como Secure Folder, Samsung Pay, Samsung Health y el modo secreto de Samsung Browser. Para algunas versiones anteriores de Knox, es posible borrar el e-fuse actualizando un firmware personalizado.^[37]

Samsung DeX[editar]

Se agregaron opciones para administrar Samsung DeX en Knox 3.3 para permitir o restringir el acceso mediante la plataforma Knox para mayor control y seguridad.^[38]

Samsung Knox TIMA[editar]

La arquitectura de medición de integridad (TIMA) basada en TrustZone de Knox permite el almacenamiento de claves en el contenedor para la firma de certificados mediante la plataforma de hardware TrustZone.^[39]

Menciones de seguridad notables[editar]

En junio de 2014, la lista de productos aprobados para uso sensible pero no clasificado de la Agencia de Sistemas de Información de Defensa (DISA) incluía cinco dispositivos Samsung.^[40]

En octubre de 2014, un investigador de seguridad descubrió que Samsung Knox almacena los PIN en texto sin formato en lugar de almacenar PIN salteados y cifrados y procesarlos mediante un código ofuscado.^[41]

En octubre de 2014, la Agencia de Seguridad Nacional (NSA) de EE. UU.aprobó los dispositivos Samsung Galaxy para su uso en un programa para implementar rápidamente tecnologías disponibles comercialmente. Los productos aprobados incluyen Galaxy S4, Galaxy S5, Galaxy S6, Galaxy S7, Galaxy Note 3 y Galaxy Note 10.1 2014.^[40]

En mayo de 2016, los investigadores israelíes Uri Kanonov y Avishai Wool encontraron tres vulnerabilidades en versiones específicas de Knox.^[42]

En diciembre de 2017, Knox recibió calificaciones "fuertes" en 25 de 28 categorías en una publicación de Gartner que comparaba la solidez de la seguridad de los dispositivos de varias plataformas.^[43]

Referencias[editar]

↑ «Secure mobile platform and solutions». Samsung Knox. 15 de enero de 2021. Archivado desde el original el 23 de diciembre de 2021. Consultado el 15 de enero de 2021.
↑ «App Container | Knox Platform for Enterprise White Paper». docs.samsungknox.com. Consultado el 7 de enero de 2021.
↑ «Samsung Knox Feature Summary». docs.samsungknox.com. Consultado el 6 de enero de 2021.
↑ «8 Steps to Customizing Mobile Devices With Knox Configure». Samsung Business Insights (en inglés estadounidense). 7 de enero de 2020. Consultado el 6 de enero de 2021.
↑ Miller, Matthew. «Samsung Galaxy XCover Pro: Microsoft Teams Walkie Talkie experiences and Knox Capture release». ZDNet (en inglés). Consultado el 6 de enero de 2021.
↑ ^a ^b «Knox for Enterprise Mobility». Samsung Knox (en inglés). Consultado el 6 de enero de 2021.
↑ «Knox Developer Documentation». docs.samsungknox.com. Consultado el 6 de enero de 2021.
↑ «Knox for Device Customization». Samsung Knox (en inglés). Consultado el 6 de enero de 2021.
↑ «Knox Capture». Samsung Knox (en inglés). Consultado el 6 de enero de 2021.
↑ «Peripherals Overview». Samsung Knox (en inglés). Consultado el 28 de junio de 2021.
↑ «Knox Asset Intelligence». Samsung Knox (en inglés). Consultado el 28 de junio de 2021.
↑ «Samsung Knox Documentation Ecosystem». docs.samsungknox.com. Consultado el 6 de enero de 2021.
↑ «Samsung Knox Developer Documentation». docs.samsungknox.com. Consultado el 28 de junio de 2021.
↑ «Samsung Knox Capture». docs.samsungknox.com. Consultado el 28 de junio de 2021.
↑ «Samsung Knox Asset Intelligence». docs.samsungknox.com. Consultado el 28 de junio de 2021.
↑ «New Samsung Galaxy Note 3 software features explained». Android Authority (en inglés estadounidense). 4 de septiembre de 2013. Archivado desde el original el 9 de enero de 2021. Consultado el 7 de enero de 2021.
↑ Ziegler, Chris (25 de febrero de 2013). «Samsung Knox: a work phone inside your personal phone (hands-on)». The Verge (en inglés). Consultado el 7 de enero de 2021.
↑ «Evaluating top MDMs for Android and iOS». SearchMobileComputing (en inglés). Consultado el 7 de enero de 2021.
↑ «Samsung discontinues My Knox, urges users to switch to Secure Folder». Android Authority (en inglés estadounidense). 2 de junio de 2017. Consultado el 7 de enero de 2021.
↑ «What's new in Knox 3.4?». Samsung Knox (en inglés). Consultado el 7 de enero de 2021.
↑ «What is the Secure Folder and how do I use it?». Samsung uk (en inglés británico). Consultado el 7 de enero de 2021.
↑ «How we cracked Samsung's DoD- and NSA-certified Knox». ZDNet (en inglés).
↑ «Samsung RKP».
↑ «What is SE for Android? | Samsung Support Philippines». Samsung ph (en en-PH). Consultado el 4 de enero de 2021.
↑ Alendal, Gunnar; Dyrkolbotn, Geir Olav; Axelsson, Stefan (1 de marzo de 2018). «Forensics acquisition — Analysis and circumvention of samsung secure boot enforced common criteria mode». Digital Investigation (en inglés) 24: S60-S67. ISSN 1742-2876. doi:10.1016/j.diin.2018.01.008.
↑ «Samsung Enterprise Firmware-over-the-air».
↑ «Samsung SSO».
↑ «Samsung CEP».
↑ «Samsung OTP».
↑ «Samsung Knox VPN».
↑ «Disable DEFEX Security to Root Samsung Galaxy Devices on Oreo».
↑ «Root of Trust | Knox Platform for Enterprise Whitepaper». docs.samsungknox.com. Consultado el 13 de noviembre de 2018.
↑ «vTZ: Virtualizing ARM TrustZone».
↑ Ning, Peng (4 de diciembre de 2013). «About CF-Auto-Root». Samsung. Archivado desde el original el 5 de septiembre de 2015. «The sole purpose of this fuse-burning action is to memorize that a kernel or critical initialization scripts or data that is not under Samsung's control has been put on the device. Once the e-fuse bit is burned, a Samsung KNOX-enabled device can no longer create a KNOX Container or access the data previously stored in an existing KNOX Container.»
↑ «Just how does Knox warranty void efuse burning work?». XDA Developers Forums (en inglés estadounidense). Consultado el 5 de enero de 2021.
↑ Koebler, Jason (17 de agosto de 2016). «Companies Can't Legally Void the Warranty for Jailbreaking or Rooting Your Phone». Motherboard. Consultado el 27 de octubre de 2018.
↑ «Disable Knox on Samsung Galaxy Devices [4 Ways] | Android More». AndroidMore (en inglés estadounidense). Consultado el 14 de diciembre de 2020.
↑ «Samsung DeX | Apps & Services | Samsung IN». Samsung India (en Indian English). Consultado el 4 de enero de 2021.
↑ «Samsung TIMA Keystores».
↑ ^a ^b Ribeiro, John (21 de octubre de 2014). «NSA approves Samsung Knox devices for government use». PCWorld. Consultado el 27 de octubre de 2018.
↑ Mimoso, Michael (24 de octubre de 2014). «NSA-Approved Samsung Knox Stores PIN in Cleartext». Threatpost. Consultado el 27 de octubre de 2018.
↑ Forrest, Conner (31 de mayo de 2016). «Samsung Knox isn't as secure as you think it is». TechRepublic. Consultado el 27 de octubre de 2018.
↑ «Introduction | Knox Platform for Enterprise Whitepaper». docs.samsungknox.com. Consultado el 13 de noviembre de 2018.

[1] «Secure mobile platform and solutions». Samsung Knox. 15 de enero de 2021. Archivado desde el original el 23 de diciembre de 2021. Consultado el 15 de enero de 2021.

[2] «App Container | Knox Platform for Enterprise White Paper». docs.samsungknox.com. Consultado el 7 de enero de 2021.

[3] «Samsung Knox Feature Summary». docs.samsungknox.com. Consultado el 6 de enero de 2021.

[4] «8 Steps to Customizing Mobile Devices With Knox Configure». Samsung Business Insights (en inglés estadounidense). 7 de enero de 2020. Consultado el 6 de enero de 2021.

[5] Miller, Matthew. «Samsung Galaxy XCover Pro: Microsoft Teams Walkie Talkie experiences and Knox Capture release». ZDNet (en inglés). Consultado el 6 de enero de 2021.

[Knox_for_Enterprise_Mobility-6] «Knox for Enterprise Mobility». Samsung Knox (en inglés). Consultado el 6 de enero de 2021.

[7] «Knox Developer Documentation». docs.samsungknox.com. Consultado el 6 de enero de 2021.

[8] «Knox for Device Customization». Samsung Knox (en inglés). Consultado el 6 de enero de 2021.

[9] «Knox Capture». Samsung Knox (en inglés). Consultado el 6 de enero de 2021.

[10] «Peripherals Overview». Samsung Knox (en inglés). Consultado el 28 de junio de 2021.

[11] «Knox Asset Intelligence». Samsung Knox (en inglés). Consultado el 28 de junio de 2021.

[12] «Samsung Knox Documentation Ecosystem». docs.samsungknox.com. Consultado el 6 de enero de 2021.

[13] «Samsung Knox Developer Documentation». docs.samsungknox.com. Consultado el 28 de junio de 2021.

[14] «Samsung Knox Capture». docs.samsungknox.com. Consultado el 28 de junio de 2021.

[15] «Samsung Knox Asset Intelligence». docs.samsungknox.com. Consultado el 28 de junio de 2021.

[16] «New Samsung Galaxy Note 3 software features explained». Android Authority (en inglés estadounidense). 4 de septiembre de 2013. Archivado desde el original el 9 de enero de 2021. Consultado el 7 de enero de 2021.

[17] Ziegler, Chris (25 de febrero de 2013). «Samsung Knox: a work phone inside your personal phone (hands-on)». The Verge (en inglés). Consultado el 7 de enero de 2021.

[18] «Evaluating top MDMs for Android and iOS». SearchMobileComputing (en inglés). Consultado el 7 de enero de 2021.

[19] «Samsung discontinues My Knox, urges users to switch to Secure Folder». Android Authority (en inglés estadounidense). 2 de junio de 2017. Consultado el 7 de enero de 2021.

[20] «What's new in Knox 3.4?». Samsung Knox (en inglés). Consultado el 7 de enero de 2021.

[21] «What is the Secure Folder and how do I use it?». Samsung uk (en inglés británico). Consultado el 7 de enero de 2021.

[22] «How we cracked Samsung's DoD- and NSA-certified Knox». ZDNet (en inglés).

[23] «Samsung RKP».

[24] «What is SE for Android? | Samsung Support Philippines». Samsung ph (en en-PH). Consultado el 4 de enero de 2021.

[25] Alendal, Gunnar; Dyrkolbotn, Geir Olav; Axelsson, Stefan (1 de marzo de 2018). «Forensics acquisition — Analysis and circumvention of samsung secure boot enforced common criteria mode». Digital Investigation (en inglés) 24: S60-S67. ISSN 1742-2876. doi:10.1016/j.diin.2018.01.008.

[26] «Samsung Enterprise Firmware-over-the-air».

[27] «Samsung SSO».

[28] «Samsung CEP».

[29] «Samsung OTP».

[30] «Samsung Knox VPN».

[31] «Disable DEFEX Security to Root Samsung Galaxy Devices on Oreo».

[32] «Root of Trust | Knox Platform for Enterprise Whitepaper». docs.samsungknox.com. Consultado el 13 de noviembre de 2018.

[33] «vTZ: Virtualizing ARM TrustZone».

[34] Ning, Peng (4 de diciembre de 2013). «About CF-Auto-Root». Samsung. Archivado desde el original el 5 de septiembre de 2015. «The sole purpose of this fuse-burning action is to memorize that a kernel or critical initialization scripts or data that is not under Samsung's control has been put on the device. Once the e-fuse bit is burned, a Samsung KNOX-enabled device can no longer create a KNOX Container or access the data previously stored in an existing KNOX Container.»

[35] «Just how does Knox warranty void efuse burning work?». XDA Developers Forums (en inglés estadounidense). Consultado el 5 de enero de 2021.

[36] Koebler, Jason (17 de agosto de 2016). «Companies Can't Legally Void the Warranty for Jailbreaking or Rooting Your Phone». Motherboard. Consultado el 27 de octubre de 2018.

[37] «Disable Knox on Samsung Galaxy Devices [4 Ways] | Android More». AndroidMore (en inglés estadounidense). Consultado el 14 de diciembre de 2020.

[38] «Samsung DeX | Apps & Services | Samsung IN». Samsung India (en Indian English). Consultado el 4 de enero de 2021.

[39] «Samsung TIMA Keystores».

[:0-40] Ribeiro, John (21 de octubre de 2014). «NSA approves Samsung Knox devices for government use». PCWorld. Consultado el 27 de octubre de 2018.

[41] Mimoso, Michael (24 de octubre de 2014). «NSA-Approved Samsung Knox Stores PIN in Cleartext». Threatpost. Consultado el 27 de octubre de 2018.

[42] Forrest, Conner (31 de mayo de 2016). «Samsung Knox isn't as secure as you think it is». TechRepublic. Consultado el 27 de octubre de 2018.

[43] «Introduction | Knox Platform for Enterprise Whitepaper». docs.samsungknox.com. Consultado el 13 de noviembre de 2018.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]