Pull to refresh

Comments 18

Все выше обозначенные механизмы приобретают особое значение при использовании мобильных устройств в корпоративной среде.

Да да, вот на корпоративное зло я и натолкнулся при покупке абсолютно нового, запакованного s9+ через довольно таки крупного реселера. Телефон оказался привязанным к какой-то конторе.
Вот и расскажите как с помощью Knox можно легко уводить телефоны и всю информацию с них у простых добропорядочных пользователей.
Ну и в подтверждение своих слов:
Скриншот
image

P.S. Кстати, мне так ничего и не ответили на «типа проведенную» внутреннюю проверку.
может быть это уже реализация закона о Предустановленом отчественном ПО?
Едва ли. Покупка была летом 2018. Конечно после звонка по указанному телефону и сбросу настроек до заводских, всё «разрешилось». Но я теперь боюсь пользоваться техникой самсунга и не чувствую себя в безопасности… Никто не мешает снова «захватить» мой телефон и как оказалось при этом наличие самого устройства совсем не обязательно.
Хух, почти знакомая ситуация. У меня был S7 Edge (тогда покупал как новинку, только вышел), у крупного ритейлера, официально и все дела. Работал отлично в Беларуси (где и покупался). Но вот как только выехал в UK (London) и там вставил местную симку — связь отрубило начисто. В итоге поехал в крупный сервисный центр, принес им аппарат. Сказали, мол, ваше устройство залочено под конкретного оператора O2 (контрактный телефон) и вообще контрафакт походу. Пошел в O2 — те открестились сказали сделать ничего нельзя и разве что умельцы могут его «разлочить» как последний шанс. В итоге пришлось отправлять его по почте в РБ, где он прерасно работал на местных симках и там его продавать.

Хмм, с новым аппаратом такого по идее не должно быть, если конечно продавец не перепутал партии аппаратов. Насколько я знаю, многие производители могут отгружать мобилки с предустановленным профилем и запущенными политиками MDM из коробки. Возможно вам достался такой аппарат.

насколько следует из описания Knox девайс можно подрубить удаленно, после чего устройство попросит согласится с тем, что устройство станет корпоративным и все данные с него будут доступны администратору либо устройство останется кирпичем. Вообще поскольку до сих пор не поступило никакого комментария от Самсунга и спустя год мне так и не ответили на мои гневные письма, то делаем вывод, что Knox есть огромная дыра в безопасности и возможности мошенничества планетарного масштаба :(
можно подрубить удаленно,
Секрет тут простой, некогда популярные MDM строились на телефонах от Апфель, Винмобайл и Самсунг. 3 платформы с готовой удаленным централизованным управлением. Сейчас не вспомню, но вроде как раз у Самсунга года 3 назад централизованно можно было накатить политики безопасности тысяч на 5 телефонных аппаратов.
Дыра не дыра, но привязать в базу MDM любой аппарат и удаленно управлять можно.
Возможно уже научились но 5 лет назад централизованно было невозможно управлять установленными приложениями. Установить зонд и мониторинг приложений было возможно.

Добавлю свои пять копеек, хоть и с опозданием. У нас (крупная фирма с головным офисом во Франции, я работаю в её французском же подразделении) для рабочих аппаратов Knox используется для инициализации MDM (далее используется Intune). Так вот, подтверждаю, что для инициализации процесса достаточно, чтобы администратор добавил в панели управления Knox IMEI аппарата в список. При первом запуске любой телефон Самсунг первым делом требует доступ в интернет. Там он проверяет, не числится ли его IMEI в базе на сервере Самсунг. Если находится соответствие, то Knox следует заданному для этой группы IMEI сценарию, в нашем случае полностью перехватывает процесс первичной настройки, становится неотключаемым администратором, устанавливает Intune и его тоже делает неотключаемым администратором. Прервать или обойти процесс невозможно, он полностью автоматический. Ну разве что выключив или разбив телефон :) Ну или установив сторонню прошивку, для тех телефонов, для которых она есть, со срабатыванием защитного бита Knox.

 

Причём таким образом можно добавлять и старые телефоны. Для этого пользователю достаточно прислать администратору нашей компании свой IMEI по имейл. Никаких подтверждений не требуется! Так что это не дыра, а ДЫРИЩА! Осталось дождаться, когда кто-нибудь эту систему хакнет (если уже не). Единственное, там вроде бы нельзя перехватить контроль над уже инициализированным телефоном на лету. Как минимум у нас в компании, после добавления IMEI в базу Самсунга нужно сделать hard reset, чтобы процесс пошёл.

Это вы конечно молодцы, НО!
Просто оставлю это здесь.
Купил недавно несколько устройств Samsung и был неприятно удивлен количеству ПО, установленного без возможности не только удаления, а банальной остановки.
Такого себе даже гугл не позволяет. Приложение «Погода» после остановки тут же стартует снова.
Нести назад или нет еще не решил, но в след. раз буду проверять и если ситуация не измениться буду брать альтернативу.
для самса есть чудная прога package disabler pro+..работает без рута, им можно выключать любые системные сервисы. Я им биксби отрубил и все что с ним связано.

Со шлаком на самсунговских телефончиках есть нюанс.На некоторых моделях шлака меньше.
Купил два аппарата J4+ и Xcover 4s. Не знаю откуда продавец достал Xcover 4s но разница в программной начинке между аппаратами существенная. В Xcover 4s в разы меньше мусорных приложений. Также удивил планшет Tab 6, количество шлака на мой взгляд умеренное и не сильно вредит.


barnes с биксби столкнулся только на 6 табе. Что за дичь и какой вред еще не разобрался.

А в чем проблема, что Погода работает? Или это принцип?

Не могу часто писать, отвечу сразу.

DarkGenius принцип здесь не причем.
Тут недавно была тема по поводу предустановки российского ПО, там у людей подгорало.
Так вот яндекс на купленных устройствах уже стоял, но его можно выключить и забыть, как и ПО от Google.
А вот немаленькая пачка софта Samsung не отключаема в принципе и при остановке стартует снова. Ну да можно предположить, что какая-то часть ПО может потянуть за собой проблемы с другими прогами, но причем здесь погода? Вот почему обратил внимание именно на нее. Это один момент.
Второй момент, даже если нельзя отключать из-за возможных проблем, то у меня вопрос, для чего так сделали?
Для примера. Я купил настольную игру ребенку, а там в коробке буклет с играми этого же производителя. Я ознакомился и выкинул его (или решил купить еще игру), но он никак не мешает играть в уже купленную. Такой подход правильный.

Mykola_Von_Raybokobylko согласен, на разных устройствах есть отличия. Но так себе оправдание его наличия в принципе.

barnes спасибо, надо попробовать.

Как реализовано, что Knox warranty bit не может быть возвращен назад?

Что-то типа однократно пережигаемого предохранителя (one-time programmable bit e-fuse), который физически пережигается при разблокировке аппарата.

Для тех, кто придёт сюда по поиску…
Не нравилось то, что голосовой помощник Bixby всегда начеку, и его, кажется, нельзя удалить без сторонних прошивок. А с перепрошивкой ломается этот warranty bit. После этого перестаёт работать Samsung/Google Pay для бесконтактной оплаты, в том числе оплата через Galaxy Watch. Samsung Health тоже больше не хочет заводиться на «родной» прошивке, но запускается на кастомной.

Автору статьи спасибо, получился хороший пример технической публикации в корпоративном блоге.
Если добавить еще немного технических деталей, ИМХО, она станет только лучше :)

Кстати про биксби — мне это не нужно, а отключить не могу. А еще лазал по форумам и выяснил, что этот ваш нокс перестает работать при установке свободных дистрибутивов андройда. Пока что операционку не менял, но собираюсь и такой выверт мне не нравится — вы бы продавали трубки без предустановленного андройда вообще, цены бы вам не было.

Only those users with full accounts are able to leave comments. Log in, please.