Mihin kännykän taskulamppusovellus tarvitsee verkkoyhteyden?

Monelle kännykän käyttäjälle kyseiset kohut saattavat kuitenkin vaikuttaa melko etäisiltä. Monissa kommenteissa toistuu usein seuraavanlainen toteamus: "Eihän kännykässäni ole mitään urkittavaa, joten ei haittaa".

Tietoturvakonsultointiin erikoistunut Nixu Oy muistuttaa, että yksityisten tietojen vuotaminen puhelimessa olevien sovellusten kautta on merkityksellistä. Yksityiset tiedot voivat päätyä asiattomaan käyttöön tai jopa rikollisiin käsiin.

2500 Windows Phone -sovellusta syynissä

Nixun vanhempi tietoturvakonsultti Tero Vänskä tutki noin 2500 Windows Phone -sovelluskaupasta saatavaa ohjelmaa ja analysoi niihin liittyviä turvallisuusriskejä. Hän muistuttaa, että myös muiden käyttöjärjestelmien sovelluksiin liittyy vastaavia riskejä, eikä Windows-ympäristö ole turvallisuudeltaan niitä huonompi.

Matkapuhelinsovelluksen asentajan muistilista:

1. Katso, mitä käyttöoikeuksia ohjelma pyytää.

2. Tutki, kuka on julkaissut ohjelman, ja uskallatko luovuttaa hänelle tietojasi. 

3. Ole erityisen tarkkana uusimpia ohjelmia, mainosrahoitteisia ohjelmia ja muita ilmaisohjelmia asentaessasi.

4. Mieti mihin sovellus tarvitsee paikannustietoasi. Jos se kerää myös luottamuksellisia tietoja, muista että paikannustiedon avulla ne voidaan yhdistää muuhun sinusta kerättyyn tietoon.

5. Esiasennetut ohjelmat ovat todennäköisesti turvallisimpia, sillä niiden alkuperä tunnetaan ja voimme odottaa, että niiden tietoturvasta on huolehdittu.

6. Mieti myös mitä tietoa säilytät kännykässäsi. Kannattaisiko työasioita varten pitää erillistä laitetta?

Lähde: Nixu Oy

-Riski liittyy käyttöoikeuksiin, sillä ohjelmat pyytävät asennettaessa pääsyä erilaisiin puhelimen resursseihin. Käyttäjä voi rajoittaa niitä vain jättämällä ohjelman asentamatta, Vänskä neuvoo.

-Ohjelmat toki tarvitsevat erilaisia tietoja toimiakseen. Voi kuitenkin kysyä, miksi yksinkertainen taskulamppuohjelma tarvitsee verkkoyhteyksiä ja pääsyä puhelimen omistajan tapaamisiin, yhteystietoihin sekä kuva- ja musiikkiarkistoihin, hän jatkaa.

Käyttöoikeuksien tarpeellisuuden selvittäminen on lisäksi tavalliselle kuluttajalle hankalaa, sillä selkokielinen tieto ohjelmien toiminnasta on monen klikkauksen takana.

Kenelle tietosi luovutat?

Käyttäjälle, joka jo muutenkin jakaa tietojaan esimerkiksi Facebookissa, tuntuu luontevalta sallia sama myös kännykkäsovelluksilleen. Jos niissä kuitenkin on joko tahallisia tai tahattomia tietoturvaongelmia, laajat käyttöoikeudet mahdollistavat tietojen joutumisen vääriin käsiin.

-Windows Phonen turvallisuusarkkitehtuuri on rakennettu niin, että ulkopuolisten tekemät ohjelmat pääsevät vain omalle rajatulle muistialueelleen, eivätkä ne pääse esimerkiksi muiden ohjelmien dataan, eikä SMS- ja sähköpostiviesteihin. Riskit rajautuvat siten niihin tietoihin ja resursseihin, joiden käyttöoikeudet ne asennettaessa saavat.

Kannattaa varmistaa, kuka asennettavan ohjelman on tehnyt. Edes Facebookin tai Dropboxin kaltaisen uskottavan kansainvälisen yrityksen logo ei riitä luotettavuuden takeeksi, sillä sen takaa kaupasta saattaa löytyä kenen hyvänsä yksityishenkilön laatima ohjelma. Pelkästään erilaisia Facebook-versioita löytyy kymmeniä.

Sovellusten komponenteista, kuten mainoslaajennuksista, ei myöskään saa helposti tietoa.

-Lähes kaikki ohjelmat haluavat käyttää verkkoyhteyksiä, eikä peruskäyttäjä voi käytännössä selvittää, mihin palvelimiin ne niitä ottavat. Vaikka sovelluksen kehittäjä olisi vilpittömin mielin asialla, mistä voi tietää kuinka turvallinen hänen palvelimensa on ulkopuolisille hyökkäyksille?

Ilmaisuuden hinta

Lähes puolet tutkituista suosituimmista ilmaisohjelmista haluaa paikkatietoa, mutta maksetuista ohjelmista vain reilu neljännes.

-Ero selittyy ainakin osittain mainospalveluilla, joilla ilmaisohjelmat rahoitetaan. Tosin mainosrahoitteisen ohjelman maksullinen versio voi joskus edellyttää samoja oikeuksia kuin maksuton eli versiot eroavat toisistaan vain siinä, että ladatut mainokset eivät näy käyttäjälle, kommentoi Vänskä.

Yksityiseen käyttöön asennettu sovellus ei aina ole pelkkä yksityisasia, sillä työ- ja yksityisasioita hoidetaan samoilla laiteilla. Yli puolet Vänskän aineiston sovelluksista haluaa käyttöoikeuksia puhelimen sisältämien tietojen ohella resursseihin, joilla laitteen ympäristöä voidaan vakoilla esimerkiksi työpaikalla.

-Vakoileminen puhelimen avulla on teknisesti mahdollista, jos ohjelmat voivat käyttää sen bluetooth- tai WLAN-yhteyttä, kameraa tai mikrofonia ja välittää niiden keräämää tietoa verkkoyhteyden yli, Vänskä pohtii.

-Tietoa voidaan kuitenkin koota pelkästään yhdistämällä ohjelman omaa informaatiota muuhun puhelimessa olevaan tietoon ja analysoimalla laitteessa olevia tiedostoja. Oletko esimerkiksi joskus ottanut töissä kännykkäkuvia luottamuksellisesta kalvosarjasta tai nauhoittanut asiakkaan kanssa käymäsi puhelun?