Mobiililaitteiden tietoturvariskit

Taannoin löysin tietoa sovelluksista, jotka kykenevät “varastamaan” yksityistä tietoa puhelimesta, kuten esim. kuvia. Onko tämä edes mahdollista? Ja miten ne toimivat? Varastavatko ne tietoa vain kun sovellus on käynnissä? Entä varastavatko ne tietoa kaikilta sovelluksen ladanneilta? Tai entä jos sovellus on ulkomainen, pääseekö se silti puhelimen dataan käsiksi? Ja mihin kuvia ja tiedostoja käytetään yleisimmin. Myös olisi kiva tietää, mitkä Google Playn sovelluksista erityisesti keskittyy kuvien/videoiden varastamiseen.

Jos sovellus pyytää asennettaessa luvan kuviisi, se voi periaatteessa tehdä asennuksen jälkeen kuvillasi mitä vain.

Tämä koskee yhtä lailla kotimaisia ja ulkomaisia sovelluksia, ja pääasiassa kaikkia sovelluksen käyttäjiä. Kaikki muukin data ja puhelimen ominaisuudet, joihin sovellus pyytää oikeudet, toimivat samalla tavalla. Jos sovelluksella on oikeus päästä käsiksi kuviisi, se pääsee käsiksi kaikkeen muuhunkin laitteen muistiin tallennettuun tietoon, koska muistissa itsessään ei ole mitään korvamerkittyä paikkaa tietyille tiedoille, kuten kuville. Puhelimen käyttäjä ei voi luvan antamisen jälkeen tietää, miten sovellus näitä tietoja käyttää.

Pääasiassa sovelluksilla on pääsy laitteen tietoihin vain silloin kun ne ovat käynnissä, mutta monissa sovelluksissa on taustalla pyörivä moodi, joka on sovelluksen toiminnan kannalta erittäin tärkeä – eihän vaikkapa pikaviestistä ole oikeastaan hyötyä, jos se ei tule perille heti. Taustalla pyörivää sovellusta ei enimmäkseen edes huomaa, ja sellainen saattaa olla hankalaa saada edes pois päältä.

Se, että sovelluksella on pääsy johonkin tietoon tai ominaisuuteen, ei välttämättä tarkoita, että sovellus sitä koskaan käyttää. Järkevä ja verraten turvallinen sovellus hakee ja käyttää näitä tietoja vain silloin, kun käyttäjä pyytää tai odottaa sitä sovellukselta, kuten hakiessa puhelimen muistista liitettä sähköpostiin tai sijaintia status-päivitykseen. Kuitenkin käyttäjän antamat oikeudet “turvalliselle” sovellukselle voivat olla täsmälleen samat kuin pahantahtoiselle sovellukselle, joka vaikkapa jakaa käyttäjän tietoja ulkopuolisille tahoille.

Monet sovellusten pyytämistä oikeuksista ovat välttämättömiä sovelluksen toiminnan kannalta.

Jos haluat jakaa laitteeltasi kuvan Facebookissa, täytyy sovelluksen päästä käsiksi laitteeseen tallennettuihin tiedostoihin. Jos haluat käyttää karttasovellusta, sovelluksen täytyy selvittää fyysinen sijaintisi, mihin se yleensä tarvitsee GPS-paikannuksen ja langattomien internet-yhteyksien tiedot.

Valitettavasti listat sovellusten pyytämistä oikeuksista ovat useimmiten melko pitkiä ja oikeuksien todellista tarvetta tai käyttökohdetta on hankala keksiä.

Sovellukset eivät myöskään voi pyytää kovinkaan tarkkoja oikeuksia; esimerkiksi Facebook-ohjelma tarvitsee tietoja omasta käyttäjätunnuksestaan, mutta samalla se saa oikeudet kaikkiin puhelimelle tallennettuihin tunnuksiin, kuten sähköpostiin. Valitettavasti vain harva tekijä selittää sovelluksen kuvauksessaan mihin mitäkin lupaa tarvitaan.

Luotettavien sovellusten valinnassa auttaa arvostelujen ja foorumien lukeminen aiheesta, mutta nyrkkisääntönä voi pitää sovelluksen saavuttaman yleisön laajuutta.

Mitä enemmän käyttäjiä, sitä enemmän sovelluksen kehittäjällä on oikeuksien väärinkäytön kanssa hävittävää, ja sitä todennäköisemmin väärinkäyttö myös paljastuu. Toisaalta mikä tahansa sovelluskehittäjä voi jossakin vaiheessa tehdä virheitä, esimerkiksi vuotaa käyttäjien tietoja ulkopuolisille.

Käyttäjä ei voi myöskään koskaan olla varma, mitä sovelluskehittäjät tulevat tekemään tulevaisuudessa nyt keräämällään datalla.

Sovelluksia päivittäessä kannattaa myös olla tarkkana, koska uudet ominaisuudet tuovat usein mukanaan uusia vaatimuksia käyttäjän tietoihin pääsystä.

Mobiilisovellusten käyttäjän kädet ovat siis suhteellisen sidotut tässä asiassa.

Jos sovelluksia haluaa käyttää, altistaa itsensä väistämättä tietojensa päätymiselle vääriin käsiin. Jos kuitenkin haluaa tietojensa olevan mahdollisimman varmasti turvassa, tiedot voi salata tai oikeuksien hallintaa voi tarkentaa käyttämällä jonkinlaista palomuuri-sovellusta.

Jälkimmäiset yleensä vaativat pääkäyttäjän oikeudet, mikä on jo vaativampi toimenpide useimmissa puhelinmalleissa, ja saattaa olla vastoin puhelimen takuusopimusta. Kaikkein tietoturvallisin vaihtoehto on tietysti jättää sovellukset ja mieluiten koko puhelin kauppaan.

Virpi Sumu
Tietojenkäsittelytieteen laitos, Helsingin yliopisto

Vastauksen kokoamisessa on konsultoitu laitoksen henkilökuntaa ja opiskelijoita.


Jaa:Facebooktwitterpinterestlinkedinmail