隐私:如果我的雇主支付我的移动订阅费用,他们可以访问敏感信息吗?我自己买了硬件

信息安全 隐私 移动的
2021-08-24 02:19:18

我自己买了手机,但我的雇主支付了手机订阅费。

他们可以看到哪些数据以及潜在的隐私风险是什么?据我所知,他们看到我拨打了哪些号码(只有传统电话,而不是通过 VoIP 应用程序),但他们看不到个人互联网流量。

我还将 iPhone 用于公司的 Microsoft Exchange Server 服务器。

4个回答

他们很可能会看到一份详细的账单,其中显示了您打电话给谁以及何时打电话。他们还将能够查看移动数据的使用情况。

如果手机在组织的移动管理系统中注册,他们可能能够监控和控制应用程序的使用以及监控和控制互联网流量。

更新:在最坏的情况下,他们可能会安装完整的监控并安装诸如键盘记录器之类的东西,但这不太可能。此外,根据您居住在世界的哪个地方,他们可以合法收集的内容受到限制,尤其是未经同意。

最好的办法是询问您的公司您可以使用电话和不能使用电话的目的。如果是大型组织,他们应该有一个安全策略和一个可接受的使用策略。

除了已经提出的其他要点之外,许多网站还使用向您的手机发送短信作为双重身份验证的一种形式,尽管现在的最佳做法是不这样做。因此,他们可以随时将发送到您号码的消息转移给他们自己,并用它来接管您的互联网帐户,甚至是您从未在手机上使用过的帐户。

我对拥有公司管理的电话或公司付费合同以及贵公司 Exchange 的想法。我包括iPhone设备的相关信息(因为数量控制因移动平台而异)。

电话

如果您使用 Exchange ActiveSync 访问您的公司电子邮件/联系人/日历,请注意,使用ActiveSync,您的公司可以:

  • 配置手机进行同步
  • 为 Exchange ActiveSync 禁用移动电话
  • 为 Exchange ActiveSync 启用设备
  • 查看用户的设备列表
  • 配置设备密码锁定
  • 恢复设备密码
  • 在手机上执行远程擦除
  • 在 Windows 手机上安装 SSL 证书
  • 将手机配置为与 Exchange Server 同步

苹果和谷歌也有类似的集中管理选项。可能存在执行类似任务的其他 3rd 方服务或软件。

如果您的手机已安装Google G Suite,您的公司可以:

  • 自动将电子邮件、日历和联系人与用户的设备同步。
  • 打开或关闭功能,例如锁屏小部件、Siri、我的照片流、接力和 iCloud 照片共享。
  • 通过控制可用于打开文档和附件的应用程序来保护组织的托管数据。
  • 控制 Apple® iCloud® 备份和同步,并打开备份加密。应用设备管理控制,例如帐户擦除、加密和屏幕锁定。
  • 使用 G Suite 应用程序(例如 Gmail、Google 云端硬盘和日历)保护工作数据的安全。有关详细信息,请参阅获取适用于 iOS 设备的移动应用程序。

如果您的公司使用Apple Device Enrollment,他们可以访问,除其他外:

  • HTTP 的全局网络代理
  • 允许 iMessage、Game Center、iBooks Store、AirDrop、查找我的朋友
  • 允许删除应用
  • 在 Siri 中允许用户生成的内容
  • 允许手动安装配置文件
  • 允许配置限制
  • 允许与计算机配对以进行内容同步
  • 允许修改账户
  • 允许修改蜂窝数据设置
  • 允许擦除所有内容和设置
  • 使用白名单和可选连接密码限制 AirPlay 连接
  • 启用 Siri 脏话过滤器
  • 单应用模式
  • 辅助功能设置

请注意,远程备份包含您的大量手机信息(已安装的应用程序等)。几乎可以肯定,如果他们愿意,您的公司可以访问这些信息。

合同

这取决于您的雇主是否只是为您的合同付款,或者他们是合同所有者,因此可以访问移动运营商的在线工具。

如果他们拥有合同,他们绝对可以访问电话的详细列表(包括号码、时间和持续时间)。他们也可能能够访问您的 Internet 数据模式使用情况(这可能会揭示您的一些习惯)。

我知道没有供应商(欧洲/西班牙)允许客户访问访问的网站或访问的 IP 的详细列表,但我在这里可能错了我对此表示怀疑,因为它需要您的电话提供商进行深度数据包检查并维护相当昂贵的日志和数据挖掘设施……这绝对是可行的,但我从未听说过。

基本信息

任何使用手机访问公司资源(甚至只是通过 POP3/IMAP 检查邮件)的人通常都会定期向公司透露他们的大致地理位置。

如果您使用公司代理或 VPN 访问他们的任何资源,请注意您的 Internet 流量或浏览器行为可能会通过您公司的服务器转发,这将允许他们跟踪您访问的站点(以及如果这些站点未访问的内容) '不使用HTTPS)。

如果您的公司在您的手机上安装了自定义证书,那么如果您使用他们的代理,他们也可能会查看任何 HTTPS 流量。

TL;博士

总之,我建议您:

  1. 查看您的手机是否已注册到远程管理系统。
  2. 检查您的电话公司向其(业务)客户提供的有关其合同的信息类型。
  3. 检查您的公司是否在您的手机上安装了任何额外的软件、代理/vpn 设置或证书(以防您随时将手机交给他们或允许他们进行远程管理)。

合同持有人几乎总是可以看到该合同上的活动,这将是被调用的数字,也很可能是互联网使用情况,即您访问的站点以及您使用了多少数据访问它们。在世界大部分地区,您的雇主有权监控您在企业提供的服务方面的活动,并且许多人使用该权利。一些行业受到监管,有义务监控您的行为,在这些情况下,您的通话可能会被记录,您的互联网流量实际上会被保存,因此您的行为可以重建——这种情况很少见。

如果您控制您的实际设备,那么他们就看不到您在上面做什么,但是您不能假设您在公司电话上所做的任何事情都是私密的,因为它建立的连接会给他们提供大量信息。您可以使用 TOR,但就个人而言,如果您确实想保密,那么您最好为自己的手机签订合同。

其它你可能感兴趣的问题
上一篇是否可以通过带有欺骗性 IP 地址的 TCP 握手? 下一篇X.509 证书的哪些属性应该是关键的,哪些不是?