Privatnost podataka i zaštita korisnika je postala prioritet u posljednjih nekoliko godina. Rekli bismo više nego ikad prije. Prečesto na naslovnicama raznih (ICT) portala možete vidjeti priče o ljudima kojima su ukradeni podaci i/ili kako su bili prevareni. Zato nije čudno zašto mnogi od nas traže bolja rješenja za zaštitu svoje privatnosti i sigurnost dok koriste svoje uređaje. Ili bolje rečeno – gadgete.
Srećom, ako posjedujete Galaxy uređaj, manje je vjerojatno da ćete postati dio te statistike i to zahvaljujući Samsung Knoxu. Pitanje je – što je to i kako radi. Da li je Knox siguran? Može li se hakirati? U nastavku teksta ćemo odgovoriti na sva ova, ali i neka druga, pitanja. Zato krenimo redom.
Što je Samsung Knox?
Predstavljen 2013., Knox je Samsungov obrambeni mobilni sigurnosni sustav koji dolazi ugrađen u Galaxy uređaje. Njegova najosnovnija funkcija je zaštita osjetljivih podataka uključujući lozinke, PIN-ove, otiske prstiju i otključavanje licem. Također, štiti vaš uređaj od zlonamjernog softvera, zlonamjernih aplikacija i hakerskih “upada”.
To čini korištenjem kombinacije sigurnosnih rješenja temeljenih na hardveru i softveru koja rade zajedno kako bi smanjila sigurnosne probleme koji se događaju. Nadalje, Samsung Knox rješenje posjeduje više od 60 certifikata koji zadovoljavaju sigurnosne zahtjeve koje su postavile vlade u više od 10 zemalja diljem svijeta uključujući SAD, Kanadu, UK, Španjolsku, Njemačku, Kinu i druge.
Samsung tvrdi da je platforma Knox osigurala više od jedne milijarde Galaxy uređaja od svog početka, uključujući telefone, tablete i nosive uređaje (kao što su pametni satovi). Ova zaštita dolazi integrirana u unaprijed instalirane Samsungove aplikacije na vašem Galaxy uređaju, kao što su Secure Folder, Samsung Health, Samsung Pay i Samsung Pass.
Knox je također dostupan kao poslovno rješenje, ali o tome nekom drugom prilikom.
Kako Samsung Knox radi?
Prije nego što vam pokažemo kako funkcionira Knox, morate razumjeti kako su podaci inače zaštićeni na pametnim uređajima. ARM-bazirani procesori vaših pametnih telefona, kao što su Qualcomm Snapdragon ili Apple Silicon, imaju nešto što se zove TrustZone; to je sigurno okruženje ugrađeno u CPU čipa koji pokreće OS koji nije Android.
Posao TrustZone-a je osigurati temelje za sigurnost cijelog sustava dijeleći računalne resurse na dva dijela: “sigurni svijet” (“secure world“) i “normalni svijet” (“normal world“). “Siguran svijet” ima posebne privilegije (dopuštenja) i može identificirati, šifrirati i držati osjetljive podatke podalje od “normalnog svijeta”.
Razne kompanije koriste arhitekturu TrustZone za izgradnju vlastitih sigurnosnih rješenja. Samsung Knox ga koristi za stvaranje svog “Trusted Execution Environmenta” (TEE ili po hrv. “Pouzdanog izvršnog okruženja”). Informacije unutar TEE-a ne mogu se zamijeniti ili modificirati od strane neovlaštenih subjekata. Za referencu, Appleov ekvivalent TEE-u je “Secure Enclave” koji je zasebni procesor unutar Apple Silicon SoC-a.
2021. godine, lansiranjem Galaxy S21 modela, Samsung je proširio zaštitu TEE-a putem nove sigurnosne platforme pod nazivom “Knox Vault”. To je hardverski temeljen sigurnosni sustav koji sadrži fizički procesor i memorijsku jedinicu koja se razlikuje od onih koji su već na vašem telefonu.
Iako TrustZone radi neovisno, nije toliko siguran jer dijeli glavni CPU i memoriju s Android OS-om. To znači da Android snosi teret zaštite vaših podataka, a to nije dovoljno. Možda je bolje reći – nije ni pošteno.
Zato Knox Vault fizički udaljava “sigurni svijet” od “normalnog svijeta” kako bi mogao zasebno obrađivati i pohranjivati vaše biometrijske podatke, lozinke i druge podatke. To je velika stvar jer je hardver daleko manje promjenjiv od softvera.
Što vama znači Knox?
To znači da kad god, recimo, stavite nešto u aplikaciju Secure Folder, to se prvo obrađuje putem procesora Knox Vault, a zatim se pohranjuje u Knox Vault gdje podatak ima dodatnu zaštitu u usporedbi s vašim uobičajenim podacima na telefonu.
Secure folder, odnosno “sigurna mapa” stvara klonove aplikacija kao što su “Galerija”, “Kontakti” i “Moje datoteke” u koje možete pohraniti povjerljive slike, videozapise, kontakte, dokumente, glasovne bilješke i još mnogo toga. Dok ste u aplikaciji, ne možete sigurnosno kopirati svoje podatke u Samsung Cloud, što znači da ako izbrišete ili poništite sigurnu mapu, podaci u njoj bit će uništeni osim ako ih prethodno ne premjestite na neku drugu lokaciju.
Osim ovoga, Samsung Knox također nudi sigurnosni hipervizor nazvan Real-Time Kernel Protection (RKP) koji sprječava zlonamjerni softver i zlonamjerne aplikacije da preuzmu kontrolu nad jezgrom vašeg uređaja, štiteći sustav u cjelini.
Kernel uređaja posljednja je linija obrane; ako ga se napadač dočepa, stječe potpunu kontrolu nad vašim uređajem i nakon toga više ne možete učiniti ništa da zaštitite svoju privatnost. Zato Knox koristi višeslojnu sigurnost za stvaranje dodatnih linija obrane koje pokrivaju čipset, kernel, firmware i aplikacije.
Ova je zaštita proširena upotrebom Knox Warranty Bita koji otkriva je li na vaš uređaj instaliran neslužbeni softver i uključuje tzv. “Nepovratni e-osigurač” (engl. irreversible e-fuse). To poništava jamstvo za vaš uređaj i sprječava napadača da izvede bilo kakve sigurnosno osjetljive radnje.
Kako provjeriti da li vaš uređaj ima Samsung Knox?
Da li vaš Galaxy uređaj ima Knox možete provjeriti tako da odete na Postavke (Settings) > O telefonu (About phone) > Informacije o softveru (Software information). Ako nema opcije izbornika pod nazivom “Knox version”, vaš telefon je nema. Samsung također nudi popis uređaja zaštićenih Knoxom pa možete i tamo pogledati.
Ako imate Knox, provjerite imate li najnoviju verziju Knoxa koja je u vrijeme pisanja bila verzija 3.8. Ne morate ga zasebno ažurirati; Knox se automatski ažurira kada preuzmete novo ažuriranje softvera i telefon će to sam ažurirati.
Može li se Knox “hakirati”?
Koliko god Knox bio siguran, još uvijek ga se može hakirati. To je dokazano 2017. godine kada je “security expert” Gal Beniamini “savladao” Knoxovu Real-Time Kernel zaštitu. Zanimljivo je da je Beniamini popisao i istaknuo Knoxove ranjivosti koje je koristio za zaobilaženje zaštite kernela. Samsung je kasnije popravio te pogreške putem sigurnosne zakrpe.
Znači li to da je Knox neučinkovit? Naravno da ne!
Ono što se tiče mobilnih sigurnosnih sustava je da su oni vrlo slični imunološkom sustavu vašeg tijela; s vremenom rastu i jačaju. Izgradnja sigurnosne platforme je beskonačan posao koji nikad ne završava jer napadači neprestano smišljaju nove načine da je hakiraju.
Sa svakim novim ažuriranjem, Knox postaje sigurniji, s manje grešaka i sposobniji za uočavanje prijetnji. A uz pomoć etičkih hakera poput Beniaminija koji djeluju kao cjepiva za Knoxov imunološki sustav, Samsung je u stanju pronaći pogreške i ranjivosti prije nego što to učini nekakav haker.
Zato – ako imate Knox na mobitelu, iskoristite ga za pohranu osjetljivih podataka. Naravno, idealno bi bilo da ih nemate na mobitelu, ali to su puste želje. Osjetljive podatke s povjerenjem pospremite u Knox i “mirno spavajte”.
Piše: Boris Plavljanić
