Комментарии 18
Все выше обозначенные механизмы приобретают особое значение при использовании мобильных устройств в корпоративной среде.
Да да, вот на корпоративное зло я и натолкнулся при покупке абсолютно нового, запакованного s9+ через довольно таки крупного реселера. Телефон оказался привязанным к какой-то конторе.
Вот и расскажите как с помощью Knox можно легко уводить телефоны и всю информацию с них у простых добропорядочных пользователей.
Ну и в подтверждение своих слов:
P.S. Кстати, мне так ничего и не ответили на «типа проведенную» внутреннюю проверку.
Хмм, с новым аппаратом такого по идее не должно быть, если конечно продавец не перепутал партии аппаратов. Насколько я знаю, многие производители могут отгружать мобилки с предустановленным профилем и запущенными политиками MDM из коробки. Возможно вам достался такой аппарат.
можно подрубить удаленно,
Секрет тут простой, некогда популярные MDM строились на телефонах от Апфель, Винмобайл и Самсунг. 3 платформы с готовой удаленным централизованным управлением. Сейчас не вспомню, но вроде как раз у Самсунга года 3 назад централизованно можно было накатить политики безопасности тысяч на 5 телефонных аппаратов.
Дыра не дыра, но привязать в базу MDM любой аппарат и удаленно управлять можно.
Возможно уже научились но 5 лет назад централизованно было невозможно управлять установленными приложениями. Установить зонд и мониторинг приложений было возможно.
Добавлю свои пять копеек, хоть и с опозданием. У нас (крупная фирма с головным офисом во Франции, я работаю в её французском же подразделении) для рабочих аппаратов Knox используется для инициализации MDM (далее используется Intune). Так вот, подтверждаю, что для инициализации процесса достаточно, чтобы администратор добавил в панели управления Knox IMEI аппарата в список. При первом запуске любой телефон Самсунг первым делом требует доступ в интернет. Там он проверяет, не числится ли его IMEI в базе на сервере Самсунг. Если находится соответствие, то Knox следует заданному для этой группы IMEI сценарию, в нашем случае полностью перехватывает процесс первичной настройки, становится неотключаемым администратором, устанавливает Intune и его тоже делает неотключаемым администратором. Прервать или обойти процесс невозможно, он полностью автоматический. Ну разве что выключив или разбив телефон :) Ну или установив сторонню прошивку, для тех телефонов, для которых она есть, со срабатыванием защитного бита Knox.
Причём таким образом можно добавлять и старые телефоны. Для этого пользователю достаточно прислать администратору нашей компании свой IMEI по имейл. Никаких подтверждений не требуется! Так что это не дыра, а ДЫРИЩА! Осталось дождаться, когда кто-нибудь эту систему хакнет (если уже не). Единственное, там вроде бы нельзя перехватить контроль над уже инициализированным телефоном на лету. Как минимум у нас в компании, после добавления IMEI в базу Самсунга нужно сделать hard reset, чтобы процесс пошёл.
Просто оставлю это здесь.
Купил недавно несколько устройств Samsung и был неприятно удивлен количеству ПО, установленного без возможности не только удаления, а банальной остановки.
Такого себе даже гугл не позволяет. Приложение «Погода» после остановки тут же стартует снова.
Нести назад или нет еще не решил, но в след. раз буду проверять и если ситуация не измениться буду брать альтернативу.
Со шлаком на самсунговских телефончиках есть нюанс.На некоторых моделях шлака меньше.
Купил два аппарата J4+ и Xcover 4s. Не знаю откуда продавец достал Xcover 4s но разница в программной начинке между аппаратами существенная. В Xcover 4s в разы меньше мусорных приложений. Также удивил планшет Tab 6, количество шлака на мой взгляд умеренное и не сильно вредит.
barnes с биксби столкнулся только на 6 табе. Что за дичь и какой вред еще не разобрался.
А в чем проблема, что Погода работает? Или это принцип?
DarkGenius принцип здесь не причем.
Тут недавно была тема по поводу предустановки российского ПО, там у людей подгорало.
Так вот яндекс на купленных устройствах уже стоял, но его можно выключить и забыть, как и ПО от Google.
А вот немаленькая пачка софта Samsung не отключаема в принципе и при остановке стартует снова. Ну да можно предположить, что какая-то часть ПО может потянуть за собой проблемы с другими прогами, но причем здесь погода? Вот почему обратил внимание именно на нее. Это один момент.
Второй момент, даже если нельзя отключать из-за возможных проблем, то у меня вопрос, для чего так сделали?
Для примера. Я купил настольную игру ребенку, а там в коробке буклет с играми этого же производителя. Я ознакомился и выкинул его (или решил купить еще игру), но он никак не мешает играть в уже купленную. Такой подход правильный.
Mykola_Von_Raybokobylko согласен, на разных устройствах есть отличия. Но так себе оправдание его наличия в принципе.
barnes спасибо, надо попробовать.
Как реализовано, что Knox warranty bit не может быть возвращен назад?
Что-то типа однократно пережигаемого предохранителя (one-time programmable bit e-fuse), который физически пережигается при разблокировке аппарата.
Не нравилось то, что голосовой помощник Bixby всегда начеку, и его, кажется, нельзя удалить без сторонних прошивок. А с перепрошивкой ломается этот warranty bit. После этого перестаёт работать Samsung/Google Pay для бесконтактной оплаты, в том числе оплата через Galaxy Watch. Samsung Health тоже больше не хочет заводиться на «родной» прошивке, но запускается на кастомной.
Автору статьи спасибо, получился хороший пример технической публикации в корпоративном блоге.
Если добавить еще немного технических деталей, ИМХО, она станет только лучше :)
Кстати про биксби — мне это не нужно, а отключить не могу. А еще лазал по форумам и выяснил, что этот ваш нокс перестает работать при установке свободных дистрибутивов андройда. Пока что операционку не менял, но собираюсь и такой выверт мне не нравится — вы бы продавали трубки без предустановленного андройда вообще, цены бы вам не было.
Secured by Knox — механизмы мобильной безопасности Samsung