在我的个人设备上安装 Android 设备管理应用程序“安全”吗? 我的公司可以使用该应用程序读取我的私人数据吗?
我的公司最近采取了一项政策,在每个员工的智能手机上安装企业应用程序。该应用程序应从公司运营的第三方市场安装,并且需要设备管理权限。
尽管该应用程序不需要“root”权限,并且设备管理 API 与读取手机内部的数据无关,但我仍然不确定我的个人数据对我的公司是否安全。
仅供参考,API 包括更改密码、清除数据、禁用相机等。 (链接)
正如您自己提到的,设备管理 API 本身与手机数据无关。该权限赋予的权限如下:
USES_ENCRYPTED_STORAGE 此设备管理员可以使用的一种策略:要求对存储的数据进行加密。
USES_POLICY_DISABLE_CAMERA 该设备管理员可以使用的一种策略:禁用所有设备摄像头的使用。
USES_POLICY_EXPIRE_PASSWORD 此设备管理员可以使用的一种策略:强制用户在管理员定义的时间限制后更改密码。
USES_POLICY_FORCE_LOCK 该设备管理员可以使用的一种策略:能够通过lockNow()强制设备锁定或通过setMaximumTimeToLock(ComponentName, long)限制设备的最大锁定超时。
USES_POLICY_LIMIT_PASSWORD 此设备管理员可以使用的一种策略:通过 setPasswordQuality(ComponentName, int) 和 setPasswordMinimumLength(ComponentName, int) 限制用户可以选择的密码。
USES_POLICY_RESET_PASSWORD 该设备管理员可以使用的策略类型:能够通过resetPassword(String, int)重置用户密码。
USES_POLICY_WATCH_LOGIN 此设备管理员可以使用的策略类型:能够通过 ACTION_PASSWORD_FAILED、ACTION_PASSWORD_SUCCEEDED 和 getCurrentFailedPasswordAttempts() 监视用户的登录尝试。
USES_POLICY_WIPE_DATA - 该设备管理员可以使用的一种策略:能够通过wipeData(int) 将设备重置为出厂设置,删除所有用户数据。
与“隐私”明确相关的可能是监控的能力,有多少次失败的密码尝试,何时输入了正确的密码以及最低安全密码。除此之外,它不会比任何其他应用程序更令人担心隐私问题。
话虽这么说,但这绝不能让这个应用程序“安全”安装。您应该检查的一些权限是所有 READ_ 权限。 http://developer.android.com/reference/android/Manifest.permission.html。 这些将使应用程序能够直接访问大量个人信息,例如何时拨打电话、向谁拨打电话、您接收和发送的短信是什么。 READ_EXTERNAL_STORAGE 也是另一个大问题。它允许应用程序读取外部存储上的任何数据,这些数据通常可能包含个人数据,即下载的图像、屏幕截图等,甚至还可以读取编码不良的应用程序的应用程序数据(市场上有许多应用程序只在明文中留下凭据)您的 SD 卡)。
RECEIVE_权限同样能够拦截传入消息/呼叫/彩信等。
USE_CREDENTIALS 显然也存在隐私风险,因为它可以使用您拥有的令牌从外部 API 源(即您的 Gmail)请求数据
还有很多权限甚至不需要权限。例如,getPackageManager() 允许应用程序找到您已下载的应用程序的完整列表。所以他们知道您安装了愤怒的小鸟或任何其他顽皮的应用程序;)
我想说的是,这个许可本身并不是隐私方面的一个巨大的红灯。但事实上他们正在安装应用程序(除非开源且经过 MD5 验证),已经有许多其他方法可以访问“私人”信息。不安装应用程序总是比安装应用程序提供更多保护。希望有帮助。