三星Knox是一款预装于大多数三星智能手机、平板电脑和可穿戴设备上的企业级掌上设备(英语:mobile computing)安全加密芯片。
相同掌上设备的功能。用户可以点击应用图标从个人模式转换到工作模式而无需延迟或重启。制造商声称此功能将与安卓和谷歌完全兼容,并提供工作和个人数据的完全隔离并“解决Android中所有主要安全漏洞”。
Knox服务是三星旗下的“三星企业服务”(SAFE)提供给智能手机和平板电脑的功能。三星Knox的主要竞争者是一项分离个人和工作数据的Blackberry Balance服务。三星Knox的名称源于诺克斯堡(Fort Knox)。
2014年10月,美国国家安全局批准三星Galaxy设备运行程序以快速部署商用技术。批准设备包括Galaxy S4, Galaxy S5、Galaxy S6、Galaxy S7、Galaxy Note 3和Galaxy Note 10.1 2014。
2014年6月,5部三星设备被美国国防部国防信息系统局(英语:Defense Information Systems Agency)(测定商用技术用于国防)列入了敏感但未分类使用的批准产品名单。
2017年6月,三星终止了My Knox服务并催促用户切换到替代产品——安全文件夹。
2014年10月,一位安全学者发现三星Knox以明文形式而非以加盐和哈希过(使用PBKDF2更佳)再加以混淆的形式存储PIN码。
2016年5月,以色列学者乌里·卡诺诺夫(Uri Kanonov)和埃维森·沃(Avishai Wool)发现在特定版本中的Knox存在三个致命性的漏洞。
三星Knox设备使用e-fuse来辨别是否是通过“未受信任”(非三星)的启动路径启动。若设备使用非三星的引导程序、内核、中央处理器初始化脚本或数据,e-fuse将会被设置。Root设备且安装非三星的安卓发行版也将会设置e-fuse。当e-fuse设被置时,设备不能再新建KNOX,或者是访问先前存于已存在的KNOX中。这些信息可能被三星用来拒绝这些被修改过设备的保修服务。在美国境内无效化客户的保修服务可能被马格努森-莫斯质量保证法所禁止,尽管手机所出现的问题并不是因为root所造成的。对于某些设备而言,使用刷新自制硬件的方法来清除e-fuse是可能的。
