Michael Cobb是认证信息系统安全架构专家(CISSP-ISSAP),知名的安全作家,具有十多年丰富的IT行业经验,并且还从事过十六年的金融行业。他是Cobweb Applications公司的创始人兼常务董事,该公司主要提供IT培训,以及数据安全和分析的支持。Michael还合著过IIS Security一书,并为领先的IT出版物撰写过无数科技文章。此外,Michael还是微软认证数据库系统管理员和微软认证专家。
NSA最近批准KNOX平台可用于保护基于Android的三星设备中的机密数据,但我听说,该平台并没有想象中那么安全。三星KNOX有哪些安全问题?企业应该怎样做来缓解其带来的风险?
Michael Cobb:三星KNOX被设计用于解决开源Android平台中的安全缺陷,它提供独立的分区或容器,以隔离个人数据和业务数据。其中容器有其自己的加密文件系统,让受保护的应用与容器外的应用隔开。
KNOX软件被安装在各种三星Android Galaxy设备中。三星Galaxy4、5和Galaxy Note3以及Note10.1 2014版最近都经过NSA审核,被列入保密项目商业解决方案组件清单(CSfC)中,在结合KNOX管理套件使用时,这些设备可用于机密政府网络和数据。这对三星的SAFE(Samsung For Enterprise)起着重要的推动作用,可帮助推广其设备到企业和政府客户。
KNOX应用需要用户使用密码和PIN登录,但一名安全研究人员最近发现,PIN以纯文本格式存储在名为pin.xml的文件中。任何可访问该手机的人都可以读取纯文本PIN,并用它来找回忘记密码提示,而这刚好是该密码的长度,其中第一个和最后一个字符可见。另外,所使用的加密密钥就是该设备的Android ID和硬编码字符串。
这看起来似乎像是三星KNOX的重大安全问题,但正如我以前所说,我们应该查看头条新闻背后的原创性研究,看看真正的问题是什么,以及它是否真正会危及数据和网络安全。这可以避免企业将资金和人力浪费在与其IT环境不相关的威胁中。
这位研究人员的说法是对的,并且很多人都在传播这种说法,但这其实只是针对预装KNOX Personal应用。KNOX EMM是用于管理用户、应用和跨平台设备的云计算管理产品,它并不是该研究人员分析的一部分。显然,以纯文本保存用户的PIN以向用户提供密码提示的做法仅限于KNOX 1.0的Personal容器,该容器旨在让消费者体验KNOX容器。也许事实是这样,但以纯文本形式存储任何登录凭证都很难让人接受,更让人难以接受的是,在三星网站并没有指出个人容器的安全性要弱于企业容器。三星只是声称:“KNOX企业容器不会存储任何可替换PIN用于密码恢复目的”以及“三星KNOX设备已通过多项安全认证,包括FIPS 140-2和MDFPP(移动设备基础保护框架)等”。
虽然安全认证提供了一定的保障,但很多认证(例如FIPS 140-2)产品被发现有严重的缺陷,包括苹果的GotoFail SSL漏洞和Blackberry OS 10漏洞—与Flash和Heartbleed相关。KNOX并不是开源产品,因此我们不可能对它如何部署安全性进行全面分析,并且,我们不清楚CSfC项目评估的是哪个版本的KNOX。对于有较高安全要求的企业,一定要确保用户不要使用Personal版本的KNOX,以保护敏感数据的安全,并应对保持或处理敏感数据的产品执行自己的风险分析,毕竟安全认证不能百分百保证安全性。
另外,管理员需要了解其用户使用的三星设备版本,以及每个版本实际支持的安全功能。安全团队应关注三星和谷歌的警报信息,以保持了解最新情况,特别是因为Android 5.0 Lollipop开始利用KNOX容器技术。同时,最好使用内置Android加密来加密个人数据,因为这会使用基于密码的密钥导出函数((PBKDF2),它不会保留在设备中。
作者:Michael Cobb
来源:51CTO
