MDM之Goodness分析报告

前文介绍过三星的Knox。Knox需要系统定制，跨平台，跨终端比较困难。

那么有没有应用级的解决方案呢？那就是Goodness。

下面对其进行分析。下面是从其网站摘录的部分信息：

• Data in Motion – strong, over-the-air encryption protects all corporate data transmitted to and from employee devices. 传输加密，现在不传输加密都不好意思说！

• Data in Use – application-level policies allow the separation of “personal” and “corporate” data and prevent leakage from corporate apps to personal apps and public cloud services.

       两个launcher,表面上隔离出两个域，个人和企业。。号称Container，号称sandbox，其实和android自带的sanbox有区别吗？木有！！！
       双域切换有个保护口令。

     Data at Rest – AES FIPs-certified encryption, selective data wipe, and the ability to apply enterprise-grade password policies don’t interfere with the user’s personal experience.

          企业域的应用加密，很多年前的安全邮箱就有这个功能啊。无非是上面的双域切换口令衍生一个密钥，对数据加密。

 

 

赶脚总体就是一个应用！！！其实就是一个应用啊！！！android里面的所有风险他都有了。。。

下面对其APK包进行深度分析。。。

发现的几个问题：

1、goodness采用SQLlite存储大量信息，使用SQLite  Encryption  Extension (SEE)机制进行加密。

可惜它的加密密钥在应用锁定后，一直存储在内存中。。。它的加密是通过SO完成的。使用IDA Pro就可以获取这个密钥。

结果就是一个木马即可获取全部敏感信息。

2、上面提到的加密密钥是通过口令衍生的。。但也可以被攻破

PBKDF2-SHA1 （PIn+salt）就是保护后的hash值。
hash 和 salt  也保护了。。用一个固定字符串异或了。。。 而后存储在/data/data/....xml.

剩下的就是算出口令。

3、没有root检测

4、没有anti-debug，敏感信息都存储在本地，还不anti

5、一大堆log...

6、工程师经验不足（引用360工程师对金山工程师的评价！）

 

吹嘘一下我们的解决方案：

      1、也是双域，给用户只管感受的，可是我们的双域那可是隔离的，通过自定义的MAC机制（定制android内核和框架）、虚拟化等技术。

      2、对企业域的管理，个人域咱不管，管多了就没人用了。企业域现在只是隔离，要安全咋整，那就是控制软件来源，强制代码签名，自建企业应用商店。

    3、透明加密、提供基于内核的透明加密机制，应用只要安装到企业域，那就是自动加密的，应用开发者都不用操心了！！

    4、支持各种硬件密钥管理、密钥运算，比如TF加密卡等。

   5、企业数据的DLP，通过底层VPN控制，应用数据能发送到哪儿，都不是应用说了算！！必须是局长配置的IP。。

 

最大的亮点：

             各位局长、处长的隐私彻底解决！！艳照域自带照相机应用，个人域用无法访问，而且自动加密。以后丢了手机咱不怕，高强度自动加密！！！还配置一个个人自服务MDM管理平台，远程销毁数据！其实不销毁咱都不担心！高强度加密谁都攻不破！！！电影（手机）里面的那一幕再也不会发生了！！！

             每天回家也无需担心查岗，和情人的短信，聊天记录、通话记录，谁都看不到！！！

            只需要一个操作，那就是进行这些操作时进入艳照域即可！！！！

           从此高枕无忧，开心自拍！！！！

           美国FBI拿到您的手机照样束手无策！，除非发现AES的后门！这就好比奥巴马加入中国国籍一样不靠谱！！

  

唯一的缺点：

     部署成本较高！