De fiecare dată când porniți telefonul vedeți acel mesaj: "Secured by Knox". Puțini știu însă ce este și mai ales cum funcționează Knox.
 
 Knox este o întreagă platformă de securitate care cuprinde componente hardware, software și cloud, clădite pe mai multe nivele. Knox este certificat inclusiv pentru utilizarea lui în diferite instituții guvernamentale și militare (defense-grade).

 Toate componentele de bază ale lui Knox rulează într-un mediu securizat (ARM TrustZone) care nu poate fi accesat din mediul normal de execuție în care rulează sistemul de operare și restul aplicațiilor, astfel că nici codul și nici datele nu pot fi manipulate sau accesate. Tot aici rulează și aplicațiile critice cum ar fi cititorul de amprente.
 
 Knox are componente care pornesc înaintea bootloader-ului și care verifică întregul proces de pornire a sistemului de operare. Una dintre aceste componente (Primary Bootloader) este stocată într-o memorie ROM sigură și nu poate fi alterată.
 Knox folosește mai multe siguranțe hardware (e-fuses). Acestea sunt biți de memorie care pot fi modificați o singură dată.
 Una dintre siguranțe (Rollback Prevention) stabilește versiunea minimă a bootloader-ului și previne încărcarea unui bootloader mai vechi (chiar dacă este aprobat și semnat de către Samsung). Această versiune este modificată odată cu unele actualizări de firmware, dar întotdeauna doar cu o versiune mai mare. Ea este motivul pentru care nu se poate reveni la orice versiune de Android mai veche.
 
 O altă componentă foarte importantă a platformei Knox este Knox Vault. Acesta este un sub-sistem hardware care folosește un procesor, memorie RAM și spațiu de stocare separate de cele principale (folosite de către sistemul de operare și aplicații).
 
 Knox Vault stochează criptat și gestionează cheile criptografice (inclusiv pentru parole și date biometrice) și datele de autentificare în Android. Tot el este cel care impune acei timpi de așteptare tot mai mari atunci când este greșită parola (sau altă metodă) de deblocare a telefonului.

 Knox Warranty Bit (Fuse)

 Acesta reprezintă o siguranță hardware care poate fi modificată o singură dată și face legătura între componentele de mai sus. Din fabrică valoarea ei este 0 iar atunci când este declanșată apare 0x1.
 
 Knox Warranty Bit poate fi declanșat (Knox tripped) în mai multe situații printre care:
- încărcarea unui nucleu nesemnat (custom ROM).
- dezactivarea unei componente de securitate critice (SELinux de exemplu)
- root-area telefonului (deblocarea contului de administrator/superuser).

 Device Health Attestation

 Acesta este un mecanism care atestă faptul că telefonul are toate componentele de securitate Knox active, bootloader-ul și sistemul de operare sunt actuale și originale și că nu s-a intervenit nici în trecut asupra lor. El se folosește inclusiv de Warranty Bit pentru a depista compromiterea telefonului.

 În toate situațiile în care Warranty Bit este declanșat este posibilă introducerea de vulnerabilități care pot persista inclusiv după o revenire la softul original și de aceea nu mai poate fi garantat faptul că telefonul nu este compromis.

 Pentru a nu putea fi ocolit, acest mecanism folosește toate componentele de mai sus. El generează un certificat de securitate pe baza cheilor din Knox Vault. Pentru că acest certificat ar putea fi interceptat atunci când încă nu s-a intervenit asupra telefonului și apoi prezentat după compromiterea lui, la fiecare verificare este trimis de către serverul de atestare Samsung un cod aleator care este apoi criptat în certificat și verificat la primirea răspunsului.

 Odată declanșat Warranty Bit, atestarea nu mai este realizată, telefonul este considerat compromis (acest lucru poate fi remediat doar prin schimbarea plăcii de bază) și nu o să mai funcționeze niciuna din aplicațiile sau serviciile Samsung, sau alte aplicații de la terți, care folosesc acest mecanism de atestare și care conțin/ manipulează date sensibile:
- profilul de lucru care separă aplicațiile și datele utilizatorului de cele ale companiei care a înrolat telefonul
- Samsung Pay, Secure Folder, Samsung Health
- majoritatea aplicațiilor bancare
- orice altă aplicație care folosește acest mecanism de verificare.

 Un sistem compromis la nivelul cel mai de jos (kernel de exemplu) nu mai poate fi sigur orice metodă de securitate ar folosi, dar care rulează pe acel nucleu, pentru că în final nucleul este cel care controlează acea aplicație și tot ce accesează ea. De aceea acest mecanism de verificare este important pentru siguranța datelor.

 Deși Samsung Knox este considerat unul dintre cele mai bune sisteme de securitate, să nu se înțeleagă că acesta poate proteja telefonul și datele de pe el de toate acțiunile utilizatorului. Tot utilizatorul rămâne componenta cu riscul cel mai mare prin instalarea softurilor periculoase și acordarea permisiunilor fără discernământ. Este ca și cum ai avea cel mai performant sistem de închidere la ușă, dar lași ușa deschisă sau chiar inviți hoțul în casă.


Knox Guard

 Acesta este o platformă cloud care protejează companiile împotriva furtului și a fraudei.