As perguntas mais frequentes durante minhas sessões de formação giram em torno da privacidade dos dispositivos, em vários casos de dispositivos supervisionados. Um dispositivo supervisionado é um dispositivo que uma empresa ou instituição cede aos funcionários e sobre o qual exerce certo grau de controle, desde instalar atualizações à distância até forçar o uso de um serviço de e-mail corporativo específico ou impedir, por exemplo, que os estudantes usem seu iPad para baixar jogos.
Quando uma empresa ou escola tem centenas ou milhares de dispositivos ’emprestados’, é natural que queira poder gerenciá-los, localizá-los, atualizá-los e, em geral, assegurar-se de que funcionam adequadamente no ambiente para o qual estão destinados. Da mesma forma, é natural que os usuários desses dispositivos tenham perguntas sobre a privacidade de seus dados.
O que é um dispositivo MDM?
Um dispositivo MDM é um dispositivo inscrito no que chamamos de Mobile Device Management ou Gerenciamento de Dispositivos Móveis. Uma plataforma que a Apple disponibiliza à equipe técnica de uma empresa ou instituição para gerenciar os diferentes dispositivos inscritos. Com isso, pode-se agir sobre todos ao mesmo tempo sem ter que agir fisicamente em cada um deles.
Supervisionado ou não supervisionado
Primeiro, antes de começar, é determinar se o dispositivo inscrito no MDM está ou não supervisionado. É realmente simples identificar um dispositivo supervisionado, pois, quando entramos no app Configurações, na parte superior, aparece a seguinte mensagem: Este iPhone está supervisionado e gerenciado por [X]. É importante saber que, por padrão, os dispositivos não são inscritos como supervisionados. Além disso, se não estiver, é necessário apagá-lo completamente e reconfigurá-lo do zero para que passe a estar.
E por que se usa a supervisão? Porque dá à empresa ou instituição um maior controle sobre seus dispositivos. Com a supervisão, os administradores podem, por exemplo, impedir o uso de AirDrop, evitar compras através da App Store, atualizar aplicativos ou filtrar o uso do Safari.
Se o dispositivo em questão estiver supervisionado, abrimos Configurações > Geral > Perfis e Supervisão do dispositivo para ver exatamente quais mudanças (em relação à configuração de fábrica) a empresa fez. Embora um dispositivo supervisionado seja muito mais acessível pela equipe técnica da empresa, em ambos os casos, esse acesso não é aos dados, mas à habilidade de colocar restrições ao que podemos fazer com o dispositivo.
Minha empresa pode rastrear minha localização?
A pergunta principal dos usuários de um iPhone corporativo. Sua resposta tem três partes.
- Se nos conectarmos ao Wi-Fi da empresa, o departamento técnico pode saber que fizemos isso e de qual ponto de acesso.
- Se a empresa tem capacidades de rastreamento de dispositivos através das redes móveis, podem (assim como as operadoras de telefonia) localizar o dispositivo quando não estiver em Modo Avião.
- O acesso à localização exata só é possível quando o dispositivo é colocado em modo perdido (e deixa de ser utilizável) e isso só pode ser feito em dispositivos supervisionados, assim como faríamos com o app Buscar Meu iPhone.
Minha empresa pode ler minhas iMessages?
Não. Os SMS e as mensagens do iMessage nunca são visíveis em nenhum momento para ninguém. O que se pode ver é o número de mensagens enviadas ou recebidas, mas nunca para quem são enviadas nem o conteúdo das mesmas. Vale ressaltar que as mensagens de SMS (não de iMessage) podem ser obtidas pela operadora que nos fornece serviço, mas isso já é algo que escapa à Apple ou ao app Mensagens.
O uso de Mensagens, por outro lado, pode estar desativado completamente. Além disso, convém ter em mente que se a empresa solicitar o dispositivo, simplesmente desbloqueando-o, verá as mensagens enviadas, mas nunca de forma remota.
Minha empresa pode ver minhas fotos no aplicativo Fotos?
Assim como no iMessage, não há nenhum protocolo de MDM para ver, modificar ou excluir nenhuma foto do app Fotos (incluindo as fotos no iCloud). O departamento técnico só pode ver quantas fotos o dispositivo contém ou desativar funções como fotos no iCloud (útil quando se usa um Apple ID gratuito com um limite de 5GB de armazenamento).
Lembremos que os apps de terceiros que solicitam Acesso às Fotos têm acesso livre a todos os conteúdos, bem como suas localizações, e podem fazer com elas o que quiserem.
Minha empresa pode ler o e-mail da minha conta pessoal?
Tanto se usarmos o Safari quanto o app Mail para acessar nosso e-mail, o departamento técnico pode saber que fizemos isso, mas em nenhum momento ler o que recebemos ou enviamos. No caso do app Mail, podemos encontrar restrita a opção de adicionar contas pessoais.
Minha empresa pode controlar remotamente meu dispositivo?
Em iOS ou iPad OS não. No Mac, há algumas opções de controle, mas sempre com um aviso prévio de que o dispositivo está sendo controlado remotamente. Nos Macs, o departamento técnico pode usar algumas ferramentas mais agressivas para controlar a máquina. A Apple não fornece nenhuma API oficial para isso. Como regra geral, se o Mac é nosso, nunca deveríamos permitir instalar nada além de um perfil MDM.
Minha empresa pode ver o histórico de navegação?
Usando MDM não. Só pode impedir o acesso a certas páginas da web. Por outro lado, pode forçar o uso de uma VPN corporativa que sim pode monitorar o tráfego a partir da rede da empresa.
Mais privacidade do que você imagina
As ferramentas de MDM servem para configurar e gerenciar o dispositivo, não para controlá-lo e menos ainda para acessar os dados que contém. A Apple sempre cuidou e continua cuidando da privacidade dos usuários e o design de suas ferramentas MDM é prova disso.
No caso do iOS, as políticas de MDM são estritas porque o ecossistema é mais fechado. No Mac, a capacidade de instalar qualquer aplicativo ou fazer modificações no sistema dá margem para usar ferramentas não oficiais que não seguem as políticas de privacidade da Apple.
Lembremos de eliminar do dispositivo todas as contas pessoais com as quais pudemos ter iniciado sessão antes de entregá-lo ao departamento técnico para reparo ou devolução. Feito isso, e com tudo o que expusemos, podemos ficar tranquilos, pois temos muito mais privacidade do que poderia parecer.
