Исследователи израильского университета имени Бен-Гуриона в Негеве сообщили о том, что в платформе Samsung KNOX обнаружена уязвимость, с помощью которой могут быть скомпрометированы Android-устройства, произведённые южнокорейской корпорацией, а именно Galaxy S4 и Galaxy Note 3.
Увеличить рисунок
Согласно официальному пресс-релизу университета, уязвимость была обнаружена учащимся Мардохеем Гури, проходящим обучение в докторантуре. Его задачей было исследование систем защиты мобильных устройств, и платформа Samsung KNOX, по словам исследователя, изначально рассматривалась как “произведение искусства” в своей нише. Но в ходе дальнейшего изучения Мардохей обнаружил, что среда, в которой исполнялись пользовательские приложения, несмотря на стремление Samsung к максимальной изоляции от защищённых контейнеров Knox, была ненадёжно связана с безопасной средой, что позволяло обычному приложению скомпрометировать всю среду KNOX, обойдя все механизмы защиты. Учитывая, что платформа Knox позиционируется компанией Samsung в качестве услуги для корпоративного и государственного сектора, включая оборонный сегмент, то такая уязвимость может предоставить злоумышленнику доступ к секретным данным, обладающим большой ценностью. Старший технический директор университета сообщил, что после того как уязвимость была проверена техническим отделом образовательного учреждения, был сформирован подробный отчёт, который был отправлен в Samsung. Так как речь может идти о потенциальной уязвимости нулевого дня, университет отказался раскрывать подробную информацию о бреши до того, как южнокорейская корпорация подтвердит либо исправление уязвимости, либо её отсутствие.
После того как известное издание Wall Street Journal сообщило о происходящем, представитель компании выступил с заявлением, что Samsung получила отчёт от университета, и в данный момент специалисты отдела безопасности исследуют предоставленные детали. По предварительным данным инженеры корпорации подтвердили, что уязвимость действительно существует, но её опасность несколько преувеличена, так как приведённый докторантом эксплойт действительно позволял обойти платформу KNOX, но это было возможно только при некорректной конфигурации, отличной от рекомендаций Samsung. В компании считают, что её клиенты вполне могут ошибиться в настройке Knox и стать уязвимыми к атаке, поэтому Samsung приложит все усилия, чтобы ликвидировать существующий дефект. Что касается самого израильского исследователя, то представитель Samsung не сообщил, будет ли компания выплачивать награду Мардохею. У компании существует специальный проект вознаграждений за выявленные уязвимости, но он относится к платформе Smart TV. Впрочем, в марте этого года английский хакер Теренс Эден смог обойти защиту экранов блокировки смартфонов Samsung, и поначалу получил лишь благодарность в электронном письме, но несколько дней назад он сообщил, что получил посылку из Кореи с Samsung Galaxy Note 3.
Что касается реакции экспертов индустрии и потенциальных клиентов, то она была неоднозначной. Представитель Департамента Обороны США заявил о том, что он не имеет полномочий давать оценку уязвимостям, но сообщил, что все устройства, применяемые в сфере государственной безопасности, проходят тщательное тестирование, и Samsung KNOX пока его только проходит. На данный момент с Samsung работает Агенство Национальной Безопасности (NSA), которое оформило контракт на покупку 500 Samsung Galaxy S4 для реализации пилотного проекта использования Android-устройств в сетях Пентагона. Представитель силовиков сообщил также, что Samsung уже связалась с техническим отделом с данными об уязвимости. С комментарием о дефекте выступил также Патрик Трэйнор, профессор Института Технологий Джорджии и специалист в безопасности мобильных устройств. Он заявил, что нет ничего удивительного в том, что в KNOX обнаружена уязвимость, так как он является чрезвычайно сложным программным продуктом, возможность изначального безошибочного создания которого крайне невелика. Впрочем, он уточнил, что не стоит успокаивать себя этим фактом, и необходимо выявлять и ликвидировать подобные уязвимости в максимально короткие сроки, не давая злоумышленникам проявить инициативу.
Увеличить рисунок
Что касается самой платформы Samsung KNOX, то она была разработана компанией Samsung в качестве дополнительных модулей защиты для Android. KNOX использует технологию ARM TrustZone, которая проверяет статус загрузчика и ядра системы, и в случае выполнения необычного кода, произведёт предписанное политикой безопасности действие (например, отключение устройства или удаление данных). Следующим этапом защиты является Secure Boot, который полностью блокирует возможность запуска неподписанного кода. На уровне самой системы Android Samsung использует проект Security-Enhanced Android в рамках SELinux, который позволяет блокировать многие действия злоумышленника даже тогда, когда он смог получить права суперпользователя с административными полномочиями. На уровне пользователя Samsung разработала специальный контейнер Knox, который даёт возможность использовать смартфон в рамках BYOD-программы, когда человек может использовать устройство как для личных нужд, так и для работы с конфиденциальной рабочей информации. Работодатель может сконфигурировать среду Knox на полную изоляцию от личной среды. Информация в контейнере Knox зашифрована с помощью алгоритма AES-256 и может управляться корпоративными политиками. В случае, если сотрудник покидает работу, администратор может безопасно удалить корпоративную информацию, оставив пользователю в целости и сохранности всю личную информацию. Samsung Knox разрабатывалась в качестве альтернативы решениям от Blackberry, VMware Horizon, Motorola AME, HTCPro и другим.
Продолжение истории: Samsung заявила, что "уязвимость" в KNOX вовсе не уязвимость.