個人のデバイスに Android デバイス管理アプリケーションをインストールすることは「安全」ですか? 私の会社はそのアプリケーションで私の個人データを読み取ることができますか?
私の会社は最近、各従業員のスマートフォンにエンタープライズ アプリケーションをインストールするポリシーを採用しました。アプリケーションは、会社が運営するサードパーティ マーケットからインストールする必要があり、デバイス管理権限が必要です。
アプリケーションは「root」権限を必要とせず、デバイス管理 API は電話内のデータの読み取りに関連していませんが、私の個人データが会社にとって安全かどうかはまだわかりません。
参考までに、API には、パスワードの変更、データの消去、カメラの無効化などが含まれます。(リンク)
おっしゃるように、DeviceAdministrationAPIは電話データ自体とは関係ありません。この権限で付与される権限は次のとおりです。
USES_ENCRYPTED_STORAGEこのデバイス管理者が使用できるポリシーのタイプ:保存されたデータの暗号化を要求します。
USES_POLICY_DISABLE_CAMERAこのデバイス管理者が使用できるポリシーのタイプ:すべてのデバイスカメラの使用を無効にします。
USES_POLICY_EXPIRE_PASSWORDこのデバイス管理者が使用できるポリシーのタイプ:管理者が定義した制限時間後にユーザーにパスワードの変更を強制します。
USES_POLICY_FORCE_LOCKこのデバイス管理者が使用できるポリシーのタイプ:デバイスにvialockNow()を強制的にロックさせるか、setMaximumTimeToLock(ComponentName、long)を介してデバイスの最大ロックタイムアウトを制限することができます。
USES_POLICY_LIMIT_PASSWORDこのデバイス管理者が使用できるポリシーのタイプ:setPasswordQuality(ComponentName、int)およびsetPasswordMinimumLength(ComponentName、int)を介して、ユーザーが選択できるパスワードを制限します。
USES_POLICY_RESET_PASSWORDこのデバイス管理者が使用できるポリシーのタイプ:resetPassword(String、int)を介してユーザーのパスワードをリセットできます。
USES_POLICY_WATCH_LOGINこのデバイス管理者が使用できるポリシーのタイプ:ACTION_PASSWORD_FAILED、ACTION_PASSWORD_SUCCEEDED、およびgetCurrentFailedPasswordAttempts()を介して、ユーザーからのログイン試行を監視できます。
USES_POLICY_WIPE_DATA-このデバイス管理者が使用できるポリシーのタイプ:wipeData(int)を介して、デバイスを工場出荷時にリセットし、ユーザーのすべてのデータを消去できます。
おそらく「プライバシー」に明示的に関連するのは、正しいパスワードが入力され、最小の安全なパスワードが入力されたときに、失敗したパスワードの試行回数を監視する機能でしょう。それ以外は、他のどのアプリよりもプライバシーを心配する必要はありません。
そうは言っても、これによってこのアプリを「安全に」インストールできるわけではありません。チェックする必要のあるいくつかのパーミッションは、すべてのREAD_パーミッションになります。http://developer.android.com/reference/android/Manifest.permission.html。これらにより、アプリは、誰に電話をかけたか、どのSMSを送受信するかなど、多くの個人情報に直接アクセスできます。また、READ_EXTERNAL_STORAGEも大きなものです。これにより、アプリは、ダウンロードされた画像やスクリーンショットなどの個人データを含む可能性のある外部ストレージ上の任意のデータを読み取ることができます。また、コーディングが不十分なアプリのアプリデータも読み取ることができます(市場には、資格情報をクリアテキストのままにするだけのアプリが多数あります)。 SDカード)。
RECEIVE_権限は、同様に着信メッセージ/呼び出し/mmsなどを傍受することができます。
USE_CREDENTIALSは、所有しているトークンを使用して外部APIソース(Gmailなど)からデータをリクエストできるため、明らかにプライバシーリスクもあります。
また、パーミッションさえ必要としない多くのパーミッションがあります。たとえば、getPackageManager()を使用すると、アプリは、ダウンロードしたアプリの全リストを見つけることができます。だから彼らはあなたが怒っている鳥や他のいたずらなアプリをインストールしていることを知っています;)
私が言おうとしているのは、この許可自体はプライバシーに対する大きな赤信号ではないということです。しかし、彼らがアプリをインストールしているという事実(オープンソースでMD5が検証されていない限り)には、すでに「プライベート」情報にアクセスする他の多くの方法があります。アプリをインストールしないと、アプリをインストールするよりも常に保護が強化されます。お役に立てば幸いです。