个人手机上安装公司软件，数据能被公司获得么？

henso · 2024 年8 月 21 日 20:58

现代 Android 能不 declare permission 做到这些的漏洞应该留着卖钱，而不是放着成熟的 Android Enterprise API 不用，用来监控员工

你要是给了 device admin 那怪不得别人

https://developer.android.com/work/device-admin

henso · 2024 年8 月 21 日 21:00

+1 要么单独的公司手机，要么装到 work profile 里，Android 对于 Personal/Work Profile 的隔离还是做得很好的

anno82023825 · 2024 年8 月 21 日 23:16

浏览器登陆的话技术上就做不到吧？

SolaseedAir · 2024 年8 月 21 日 23:44

浏览器是不怕，不过就得手动查邮件

Wi-Fi · 2024 年8 月 22 日 00:08

就是最大的后门权限啊。

楼主确认一下自己是不是用了这个：

公司MDM的目的就是对员工行为的全面监控，仔细观察你的一举一动，去了什么地方存了什么文件发了什么照片。不要对privacy有假象啊… work profile里面的app确实不能随便访问你的文件，但是MDM这件事本身可以。work profile好处只是是离职的时候不用抹整个手机。

公司甚至不需要在手机上装软件，只需要把手机序列号报给苹果/Google就可以打开MDM。

anno82023825 · 2024 年8 月 22 日 00:08

工作时间我除非在教课否则肯定在电脑前。
下班时间我看邮箱是有良心不看也没责任。
所以结论还是不需要推送。
我邮箱，GPT，推特什么的全都在浏览器，绝对不装应用。

Wi-Fi · 2024 年8 月 22 日 00:23

认真回答一下主楼的问题吧。

安装Duo、MS Authenticator之类的软件：不算很危险。不想开位置权限可以看看能不能不给。这些软件不会入侵系统底层，主要就是判断一下你手机有没有被偷，基本上依赖操作系统原本的biometrics。
在手机系统层面登录公司邮箱（注意不是安装邮箱App）：非常危险。企业GSuite可以强制要求“要在手机上登录Gmail，必须在安卓系统层面登录Google账户”。然后你就让公司有了查你位置、抹你手机的权力。 Work profile部分减少了麻烦，没减少隐私风险。
安装endpoint management套装：等于裸奔。这里有些常见的监控软件：
https://www.gartner.com/reviews/market/unified-endpoint-management-tools

解决方案：如果只是收邮件，用开源邮件客户端或者浏览器。如果要装EM，论坛里这么多白嫖/20刀买备用机的帖子…你实在不想带两台手机的话，安卓手机上装个虚拟机也行，在虚拟机里面的安卓装公司软件。（涉及底层MDM很可能不给装，但是只是登录Google Play应该可以。主要难点在于被虚拟的安卓版本一般不高，而MDM会强制要求比较新版的安卓系统。）

henso · 2024 年8 月 22 日 00:33

Android work profile 能做不能做什么是有明确 doc 的

无论是 personal 还是 company owned device，在使用 work profile 的前提下公司都无法 access personal profile app data/activity

Wi-Fi · 2024 年8 月 22 日 00:42

Profile之间是隔离的没错，网络流量/VPN也是隔离的。也就是IT如果只用“正常”操作无法靠Work Profile里面的app知道你在Personal Profile里面访问了什么网站。但是万事无绝对，世界上有个东西叫side channel attack，比如说你家路由器/上一个hop的运营商服务器可能就变成了DNS cache side channel，公司IT可以没事干看看你过去15分钟里有没有用手机看过P站…

另外Android 14开始UI默认提供的选项“Pause work profile”不会杀掉App，会允许Work App在后台常驻、继续访问网络。这时候虽然名义上不允许App访问精确定位，但可以根据网络粗略定位。Android 13以前是会真的停止运行的，公司并不知道你下班去Gym还是去酒吧。

schauth · 2024 年8 月 22 日 00:48

iPhone 更应该小心这个JB BUG
安装以后公司和苹果都说无法移除，只能重置手机，并且不能用备份

venusgun · 2024 年8 月 22 日 00:55

并没有这些权限你多虑了，不过我也不建议用个人iPhone enroll公司的MDM，有时候有问题会导致不能unenroll，就跟你手机一辈子了

webmaster · 2024 年8 月 22 日 01:11

装了certificate，说明公司可以解密你的traffic了

jnnksn · 2024 年8 月 22 日 01:17

请问这个profile在哪里点进去？

打豆豆 · 2024 年8 月 22 日 01:23

隔壁100% cashback的nordvpn用起来

打豆豆 · 2024 年8 月 22 日 01:24

Settings

General

VPN&Device Management

kevincs · 2024 年8 月 22 日 01:55

那就没法用公司手机搬砖了

Meteora_129 · 2024 年8 月 22 日 01:59

我靠真的吗那上班用流量摸鱼也能被记录？

webmaster · 2024 年8 月 22 日 02:08

用流量不会，用公司WiFi要小心
我一般都是开个 1.1.1.1 VPN，保证traffic不会被公司decrypt

Meteora_129 · 2024 年8 月 22 日 02:17

那没问题已经养成习惯了进办公室第一件事关Wi-Fi

Wi-Fi · 2024 年8 月 22 日 13:47

反正无限流量5块一个月，买不了吃亏买不了上当，打死都不用公司Wi-Fi。当然，道高一尺魔高一丈，公司也可以故意不改良手机信号，不让装基站，导致信号很差，电话短信都收不了，逼你用Wi-Fi calling。