5min

Wat is Samsung Knox?

De grote vraag die we veel hebben ontvangen van onze lezers en waar we zelf ook nog geen duidelijk antwoord op hadden was: "Wat is Samsung Knox nou eigenlijk?"

Als je het mij vorige week had gevraagd, had ik nog steeds gesproken over een extra container waarbinnen een app wordt uitgevoerd. Hoewel dat deels klopt, is Knox veel meer dan dat. Zo bestaat Knox uit maar liefst vijf lagen van beveiliging, waarvan de eerste al begint in de hardware, maar daarover meer op de volgende pagina.

Als we puur vanuit de gebruiker kijken naar wat Knox is, dan is het een beveiligde omgeving op je smartphone waarbinnen je zakelijke applicaties staan en alle gegevens versleuteld worden opgeslagen. Als Knox is geactiveerd op je smartphone, dan heb je op je hoofdscherm een app-icoon staan waarmee je kan wisselen naar je Knox-omgeving. Dit is een beveiligde en geïsoleerde omgeving die volledig losstaat van de standaard Android-omgeving. Zo kan een normale Android-applicatie geen gegevens zien die binnen de Knox-omgeving staan en vice versa.

Als je de Knox-omgeving opent, dan moet je eerst inloggen met een e-mailadres en wachtwoord. Hoe streng dit wachtwoord is en om de hoeveel tijd je dit moet invullen, wordt bepaald door je IT-beheerder. Dit kan elke minuut zijn, maar ook na 15 of 30 minuten van inactiviteit.


Als je bent ingelogd, kom je in een nieuwe Android-omgeving met eigen hoofdschermen, applicatielijst, apps en zelfs een eigen achtergrondafbeelding. Om duidelijk onderscheid te maken tussen Knox en de normale omgeving, zal je bij elke applicatie in het icoontje in de rechteronderhoek een slotje zien staan, wat betekent dat het een Knox-applicatie is. Daarnaast kan een IT-beheerder de hele Knox-omgeving inrichten met bijvoorbeeld een achtergrondafbeelding van het bedrijf en de nodige voorgeïnstalleerde apps.

Zoals eerder vermeld staat deze Knox-omgeving volledig los van de standaard Android-omgeving. Voor zakelijke gebruikers zal het betekenen dat de normale omgeving je privé-omgeving is en de Knox-omgeving je zakelijke omgeving. Samsung heeft met Knox ook gedacht aan freelancers, ZZP’ers en mensen die voor meerdere bedrijven werken, je kan namelijk maximaal twee Knox-omgevingen aanmaken, dus theoretisch gezien kunnen twee bedrijven een eigen Knox-omgeving inrichten op jouw smartphone.

Gezien de harde scheiding tussen de Knox-omgeving en de normale Android-omgeving betekent dit dat alle applicaties die je in de normale omgeving hebt geïnstalleerd niet in de Knox-omgeving beschikbaar zijn. In de Knox-omgeving moeten alle applicaties die je zakelijk wilt gebruiken dus opnieuw worden geïnstalleerd. Bedrijven die overstappen op Knox zullen altijd gebruikmaken van de diensten van een zogenaamde MDM-provider. Samsung biedt zelf ook een MDM-dienst aan vanuit de cloud. Met een MDM-dienst kan een IT-beheerder alle toestellen van het bedrijf beheren, zo kan diegene instellen wat een gebruiker mag doen binnen de Knox-omgeving en welke applicaties er op het toestel moeten worden (voor)geïnstalleerd, deze worden dan gepusht naar het toestel. Ook kan de IT-beheerder bijvoorbeeld het adresboek met de telefoonnummers van alle werknemers op het toestel installeren. Tot slot heeft de IT-beheerder de mogelijkheid om toestellen te traceren, vergrendelen of zelfs te wissen. Als een IT-beheerder een Knox-omgeving op afstand wist, blijft de privé-omgeving wel intact.

Om de veiligheid van de Knox-omgeving zo optimaal mogelijk te houden, heeft Samsung ervoor gekozen de Google Play Store niet beschikbaar te maken binnen de Knox-omgeving, Samsung werkt met een eigen applicatiewinkel binnen Knox. Alle apps die in deze applicatiewinkel staan, moeten bij Samsung worden aangeleverd, Samsung zal dan de nodige controles uitvoeren en de applicatie in een Knox-container plaatsen en beschikbaar maken. Ontwikkelaars kunnen hiervoor gewoon hun standaard APK-bestanden aanleveren die ze ook bij Google aanleveren, ze hoeven geen aanpassingen te doen voor Knox, tenzij Samsung bij de certificering problemen vindt.


Samsung liet duidelijk weten dat alle applicaties uitgebreid worden gekeurd, maar dat er ook wordt gekeken naar het doel van de app en hoe deze in elkaar zit. Applicaties zullen niet zomaar worden goedgekeurd. Een applicatie die weliswaar geen kwade intenties heeft maar waarvan Samsung van mening is dat de gebruikte methodes niet veilig genoeg zijn zullen dan ook worden geweigerd. Zo heb ik als voorbeeld WhatsApp aangehaald, deze zeer populaire berichtendienst heeft niet bepaald een veilig imago, berichten waren in het verleden makkelijk te onderscheppen, de huidige encryptie die WhatsApp gebruikt is al bijna twee jaar gekraakt en afgelopen week kwam WhatsApp opnieuw negatief in het nieuws. Samsung liet aan mij weten dat WhatsApp in de huidige vorm dan ook nooit zal worden geaccepteerd. Samsung heeft het afgelopen jaar hard gewerkt om veel populaire zakelijke applicaties in de Knox applicatiewinkel te krijgen en dat lijkt aardig goed gelukt, al moet de praktijk altijd uitwijzen of het voldoende is.

Zoals eerder vermeld is er geen gegevensuitwisseling mogelijk tussen de normale Android-omgeving en de Knox-omgeving. Hiervoor heeft Samsung gekozen om er zeker van te zijn dat normale apps ook niet via een omweg toegang kunnen verkrijgen tot de Knox-omgeving. Samsung heeft er op dit moment bijvoorbeeld ook voor gekozen om geen ondersteuning te bieden voor een eventuele aanwezige micro SD-kaart. Het bedrijf onderzoekt nog wel of deze in de toekomst ondersteund kunnen worden, maar op dit moment dus niet.

Hoewel er dus geen communicatie mogelijk is tussen de Knox-omgeving en de normale Android-omgeving, heeft Samsung wel nagedacht over gebruiksvriendelijkheid. Zo is het bijvoorbeeld wel mogelijk om een snelkoppeling van een Knox-applicatie in de normale Android-omgeving te plaatsen. Als je deze opstart zal je echter wel worden geconfronteerd met het Knox-inlogscherm alvorens de applicatie wordt geopend.

Als je wordt gebeld door een collega op een toestel waarop een Knox-omgeving staat en het nummer van je collega staat niet in je normale adresboek, maar wel in die van de Knox-omgeving, kan de belapplicatie toch de naam van je collega laten zien. Samsung stelt dat dit zonder gegevens uit te wisselen tussen de omgevingen gebeurt. De exacte werkwijze werd niet helemaal duidelijk toegelicht maar zoals ik het begreep neemt de Knox-omgeving de controle over het scherm even over om de naam te tonen. Waarschijnlijk heeft Samsung binnen de Knox-omgeving ook een belapplicatie die inkomende oproepen in de gaten houdt en vergelijkt met het adresboek. Het is in elk geval wel prettig dat Samsung de gebruiksvriendelijkheid niet uit het oog is verloren met het creëren van een beveiligde Android-smartphone.