事情的起源是我们公司的运营总监小顾丢失了手机。在一次匆忙换乘出租车的过程中,他的手机不翼而飞。手机本身并无价值, 但是当中有一部分涉及到客户设计方案的重要资料,是全组成员一个多月的心血。在及时向老板通报以后,我们整个小组不得不重新修改方案,再三向客户致歉。
类似的教训经验告诉我们,贴身之物稍有不慎就可能遭致惨痛损失:轻则联系人信息遭到泄露,重要邮件内容被偷窥,重则不法分子利用手机内的信息进行诈骗。尽管某些手机甚至配备了指纹加密,但通过电脑软件依旧可以读取信息,难以万全。尤其是移动办公概念逐渐盛行的今天,越来越多的企业把移动智能设备作为企业办公的终端,可以预见,企业移动办公中的信息安全将会成为各大厂商的重点关注点。
小顾丢手机以后,全公司上下进行检讨,包括要求手机内禁止存放重要资料,客户信息要匿名存储,手机必须加锁等等。方案组核心成员甚至全体配备上三星Galaxy Note3,因为据说其中配备了企业级信息安全解决方案“三星KNOX”。
我是一个不信邪的人,电脑硬盘尚可恢复,一个手机加密能到什么程度呢?今天我们就尝试破解三星KNOX,一窥究竟。
查询官网资料可知,三星Galaxy系列旗舰配备的“KNOX”解决方案是一个是从硬件到应用层都能提供防御级的安全保护的解决方案, 它提供一种“容器”将移动设备的隐私数据进行隔离,并全面加密。
桌面上金色的锁就是KNOX的图标,它也是一扇通往安全空间的门。首次进入需要设定一个高强度密码和PIN。进入到KNOX空间以后,将会看到一个崭新的桌面,与众不同的是,桌面上的每个图标都有一个锁扣,这表示:您已在安全空间中。这个空间内产生的任何照片、文档、通话记录,应用数据,都被很好的保护,在正常模式下无法找到,更无法删除,这个空间完全是异次元的存在。
三星的这个解决方案高明之处在于找到了安全与易用的平衡点:首先,手机操作方式不变,程序UI也完全一致,上手门槛低;其次,KNOX空间可以调用外部空间的信息(联系人、通话记录),但外部空间无法读取KNOX内部的信息; 最后,离开空间自动上锁,输入密码错误超过20次,数据自毁。
为了验证三星KNOX是否名副其实,我们首先尝试机器内破解。在KNOX空间内拨打几个电话,拍摄几张照片,然后退出。在普通环境下安装多个文件管理器,遍历各个目录,都无法发现对应信息的踪迹。也就是说,手机如果丢失或者遭窃,第一关是守住了。
但是绝大多数手机都挺不住电脑这一关。笔者把手机连接上电脑,用Windows资源管理器、豌豆荚、AndroidTransFile等辅助工具连接,均无法找到KNOX数据。可以判断,这块区域已经不属于普通用户分区。
我们知道,安卓手机ROOT以后可以获得系统管理的权限,那么能不能在系统分区找到KNOX数据呢?为了最大程度拷问KNOX是否能够用于企业数据加密,我们准备一刷究竟。
ROOT以后安装re文件管理器,纵览整个system分区,但是依旧找不KNOX的相关数据——也就是说,这个空间很可能也不在系统分区内。
最后我们还尝试了恢复出厂设置、在CMW中抹除数据等等手段,要么就是需要输入密码才能完成下一步,要么就是数据全部自毁。至始至终都没能一探KNOX数据踪迹。可以放心地说,如果手机丢了,隐私的确安全无虞。
我们在探讨这个神秘的KNOX时,有如下几点猜测: KNOX空间很可能是一个独立于安卓系统的分区且加密隐藏,更有甚者提出KNOX拥有一个独立的存储芯片,只有拆机才能读取。毕竟这是获得美国国防部的安全认证的手机,有关数据加密方式,我等凡人自然猜不透。
忙活了一天,整个破解行动以失败告终,向老板汇报了安全确认申明以后,老板“欣慰”地点了点头,方案组核心成员全面启用KNOX。
目前,支持三星KNOX的产品包括:GALAXY Note 3、GALAXY Note 10.1 (2014版)、GALAXY S4。不过早上刚刚收到最新消息,从12月底开始,Note2、Mega6.3产品也将可以支持三星KNOX,如此迅速的产品普及速度,我们可以看出三星对于KNOX产品的重视程度。
下班路上,我还沉迷于KNOX的神秘企业级加密中,赞叹不已。大学信息安全学的老师曾教过我们: 信息没有绝对的安全,但安全系数可以无限趋于极限,随着加密等级的提高,易用性和读取速度呈反比下降。
三星KNOX企业级信息安全服务可谓在安全与易用之间找到了一个绝佳平衡点,独创性地在安卓这个开源系统上,引入完整的安全启动、可信任启动,和完整性测量结构体系,并且不破坏整体的易用性,在企业移动办公越来越普及的今天,真正使得移动终端设备加密“一步到位”。