Qualche giorno addietro negli USA la National Information Assurance Partnership e l’NSA hanno incluso alcuni dispositivi del colosso sud coreano con integrato il sistema Samsung Knox all’interno del programma “Commercial Solutions for Classified (CSfC) Program Component List”, una certificazione che permette ai dipendenti delle reti governative di usarli per gestire informazioni riservate.
Samsung Knox, chiaro riferimento al deposito monetario degli Stati Uniti, è un servizio lanciato per la prima volta con il Samsung Galaxy S4, successivamente adottato anche in Android 5.0 “Lollypop”, con lo scopo di migliorare la sicurezza dei dispositivi, integrando meccanismi per la cifratura e protezione di file e applicazioni.
Il sistema crea una sorta di “secondo telefono virtuale”, un secondo ambiente (“Knox Container”) che dovrebbe essere totalmente blindato all’esterno, ma ora si è scoperto che così non è. Un ricercatore ha infatti scoperto che il sistema usa meccanismi molti deboli per oscurare la chiave, sconsiglia di usare il sistema Samsung Knox e suggerisce di affidarsi invece al precedenti meccanismi di cifratura build-in integrati in Android. Il vecchio meccanismo integrato permette di crittografare gli account, le impostazioni, le applicazioni scaricate e i relativi dati, file multimediali e altri dati. Dopo la cifratura del telefono, è necessario digitare un PIN numerico o una password per decrittografarlo a ogni accensione. Non è possibile sbloccare il telefono se non eseguendo un ripristino dati in fabbrica, cancellando però tutti i dati.
