三星KNOX安全性:NSA批准是否意味着企业也可用?

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

Michael Cobb是认证信息系统安全架构专家(CISSP-ISSAP),知名的安全作家,具有十多年丰富的IT行业经验,并且还从事过十六年的金融行业。他是Cobweb Applications公司的创始人兼常务董事,该公司主要提供IT培训,以及数据安全和分析的支持。Michael还合著过IIS Security一书,并为领先的IT出版物撰写过无数科技文章。此外,Michael还是微软认证数据库系统管理员和微软认证专家。

NSA最近批准KNOX平台可用于保护基于Android的三星设备中的机密数据,但我听说,该平台并没有想象中那么安全。三星KNOX有哪些安全问题?企业应该怎样做来缓解其带来的风险?

三星KNOX安全性:NSA批准是否意味着企业也可用?

Michael Cobb:三星KNOX被设计用于解决开源Android平台中的安全缺陷,它提供独立的分区或容器,以隔离个人数据和业务数据。其中容器有其自己的加密文件系统,让受保护的应用与容器外的应用隔开。

KNOX软件被安装在各种三星Android Galaxy设备中。三星Galaxy4、5和Galaxy Note3以及Note10.1 2014版最近都经过NSA审核,被列入保密项目商业解决方案组件清单(CSfC)中,在结合KNOX管理套件使用时,这些设备可用于机密政府网络和数据。这对三星的SAFE(Samsung For Enterprise)起着重要的推动作用,可帮助推广其设备到企业和政府客户。

KNOX应用需要用户使用密码和PIN登录,但一名安全研究人员最近发现,PIN以纯文本格式存储在名为pin.xml的文件中。任何可访问该手机的人都可以读取纯文本PIN,并用它来找回忘记密码提示,而这刚好是该密码的长度,其中第一个和最后一个字符可见。另外,所使用的加密密钥就是该设备的Android ID和硬编码字符串。

这看起来似乎像是三星KNOX的重大安全问题,但正如我以前所说,我们应该查看头条新闻背后的原创性研究,看看真正的问题是什么,以及它是否真正会危及数据和网络安全。这可以避免企业将资金和人力浪费在与其IT环境不相关的威胁中。

这位研究人员的说法是对的,并且很多人都在传播这种说法,但这其实只是针对预装KNOX Personal应用。KNOX EMM是用于管理用户、应用和跨平台设备的云计算管理产品,它并不是该研究人员分析的一部分。显然,以纯文本保存用户的PIN以向用户提供密码提示的做法仅限于KNOX 1.0的Personal容器,该容器旨在让消费者体验KNOX容器。也许事实是这样,但以纯文本形式存储任何登录凭证都很难让人接受,更让人难以接受的是,在三星网站并没有指出个人容器的安全性要弱于企业容器。三星只是声称:“KNOX企业容器不会存储任何可替换PIN用于密码恢复目的”以及“三星KNOX设备已通过多项安全认证,包括FIPS 140-2和MDFPP(移动设备基础保护框架)等”。

虽然安全认证提供了一定的保障,但很多认证(例如FIPS 140-2)产品被发现有严重的缺陷,包括苹果的GotoFail SSL漏洞和Blackberry OS 10漏洞—与Flash和Heartbleed相关。KNOX并不是开源产品,因此我们不可能对它如何部署安全性进行全面分析,并且,我们不清楚CSfC项目评估的是哪个版本的KNOX。对于有较高安全要求的企业,一定要确保用户不要使用Personal版本的KNOX,以保护敏感数据的安全,并应对保持或处理敏感数据的产品执行自己的风险分析,毕竟安全认证不能百分百保证安全性。

另外,管理员需要了解其用户使用的三星设备版本,以及每个版本实际支持的安全功能。安全团队应关注三星和谷歌的警报信息,以保持了解最新情况,特别是因为Android 5.0 Lollipop开始利用KNOX容器技术。同时,最好使用内置Android加密来加密个人数据,因为这会使用基于密码的密钥导出函数((PBKDF2),它不会保留在设备中。


作者:Michael Cobb 


来源:51CTO


相关文章
|
6月前
|
云安全 安全 JavaScript
影子IT和过时软件如何威胁企业基础设施
影子IT和过时软件如何威胁企业基础设施
|
人工智能 算法 安全
数据和隐私法案对企业意味着什么?
数据和隐私法案对企业意味着什么?
|
安全 Android开发 iOS开发
09年恶意软件放缓 2010年共享最危险
卡巴斯基实验室近日在莫斯科举行了2010年全球媒体峰会,对2009年全球范围内的网络安全形势进行总结,并对2010年网络安全威胁做出预测。 卡巴斯基数据显示09年新增恶意软件1500万 卡巴斯基公布的数据显示,09年恶意文件数量的增速与08年持平,但是恶意软件本身变得更加复杂,攻击的方式和目标也发生了变化。
921 0
|
Web App开发 SQL 安全
IBM:2009年软件漏洞下降 其他风险增多
据国外媒体报道,IBM发布的年度《X-Force Trend and Risk Report》显示,2009年软件漏洞的数量整体上有所下降,而文件阅读器及多媒体应用程序的故障数量增长50%。
966 0
|
安全 物联网 物联网安全
美国政府拟立法改进物联网安全:禁止硬编码密码、已知漏洞必须修复
本文讲的是美国政府拟立法改进物联网安全:禁止硬编码密码、已知漏洞必须修复,美国参议院四位参议员Warner、Gardner、Wyden和Daines最近提交一项名为《物联网安全改进法案》(the Internet of Things Cybersecurity Improvement Act of 2017,简称IoT-CIA)的草拟法案,旨在加强物联网厂商对设备安全性的投入。
1404 0
|
安全
调查|73%的公司正使用存在漏洞的超期服役设备
本文讲的是调查|73%的公司正使用存在漏洞的超期服役设备,一份新近的调查覆盖了北美350家机构的212000台思科设备。结果显示,73%的企业正在使用存在漏洞、超期服役的网络设备。该数字在上一年仅为60%。
1309 0
|
安全 Android开发
安卓严重漏洞半数未补 数百万个人信息处于危险之中
本文讲的是安卓严重漏洞半数未补 数百万个人信息处于危险中,将近一半的安卓设备包含这个漏洞,可将恶意软件替代合法APP,并收集手机中的敏感信息。
1219 0