Kännykkäsovellukset: Älä asenna mitä hyvänsä

LEHDISTÖTIEDOTE 4.3.2014

Kännykkäsovellukset: Älä asenna mitä hyvänsä

Viime aikoina on puhuttu paljon mobiililaitteiden tietojen vuotamisesta suurten valtioiden tiedusteluelimille käyttöjärjestelmien välityksellä. Yksittäiselle käyttäjälle on kuitenkin merkityksellisempää yksityisten tietojen vuotaminen puhelimeen asennettujen sovellusten kautta asiattomaan käyttöön tai jopa rikollisten käsiin."

Nixun vanhempi tietoturvakonsultti Tero Vänskä tutki noin 2500 Windows Phone -sovelluskaupasta saatavaa ohjelmaa ja analysoi niihin liittyviä turvallisuusriskejä. Hän muistuttaa, että myös muiden käyttöjärjestelmien sovelluksiin liittyy vastaavia riskejä, eikä Windows-ympäristö ole turvallisuudeltaan niitä huonompi.

"Riski liittyy käyttöoikeuksiin, sillä ohjelmat pyytävät asennettaessa pääsyä erilaisiin puhelimen resursseihin, mitä käyttäjä voi rajoittaa vain jättämällä ohjelman asentamatta", Vänskä neuvoo.

"Ohjelmat toki tarvitsevat erilaisia tietoja toimiakseen. Voi kuitenkin kysyä, miksi yksinkertainen taskulamppuohjelma tarvitsee verkkoyhteyksiä ja pääsyä puhelimen omistajan tapaamisiin, yhteystietoihin sekä kuva- ja musiikkiarkistoihin." 

Käyttöoikeuksien tarpeellisuuden selvittäminen on lisäksi tavalliselle kuluttajalle hankalaa, sillä selkokielinen tieto ohjelmien toiminnasta on monen klikkauksen takana.

"Ohjeiden ja muun informaation löytäminen edellyttää valveutuneisuutta ja vaivannäköä, eikä sitä tarjota aktiivisesti käyttäjälle."


Kenelle tietosi luovutat?

Käyttäjälle, joka jo muutenkin jakaa tietojaan esimerkiksi Facebookissa, tuntuu luontevalta sallia sama myös kännykkäsovelluksilleen. Jos niissä kuitenkin on joko tahallisia tai tahattomia tietoturvaongelmia, laajat käyttöoikeudet mahdollistavat tietojen joutumisen vääriin käsiin.

"Windows Phonen turvallisuusarkkitehtuuri on rakennettu niin, että ulkopuolisten tekemät ohjelmat pääsevät vain omalle rajatulle muistialueelleen, eivätkä ne pääse esimerkiksi muiden ohjelmien dataan, eikä SMS- ja sähköpostiviesteihin. Riskit rajautuvat siten niihin tietoihin ja resursseihin, joiden käyttöoikeudet ne asennettaessa saavat."

Kannattaa varmistaa, kuka asennettavan ohjelman on tehnyt. Edes Facebookin tai Dropboxin kaltaisen uskottavan kansainvälisen yrityksen logo ei riitä luotettavuuden takeeksi, sillä sen takaa kaupasta saattaa löytyä kenen hyvänsä yksityishenkilön laatima ohjelma. Pelkästään erilaisia Facebook-versioita löytyy kymmeniä. 

Sovellusten komponenteista, kuten mainoslaajennuksista, ei myöskään saa helposti tietoa.

"Lähes kaikki ohjelmat haluavat käyttää verkkoyhteyksiä, eikä peruskäyttäjä voi käytännössä selvittää, mihin palvelimiin ne niitä ottavat. Vaikka sovelluksen kehittäjä olisi vilpittömin mielin asialla, mistä voi tietää kuinka turvallinen hänen palvelimensa on ulkopuolisille hyökkäyksille?"



Ilmaisuuden hinta

Lähes puolet tutkituista suosituimmista ilmaisohjelmista haluaa paikkatietoa, mutta maksetuista ohjelmista vain reilu neljännes. 

"Ero selittyy ainakin osittain mainospalveluilla, joilla ilmaisohjelmat rahoitetaan. Tosin mainosrahoitteisen ohjelman maksullinen versio voi joskus edellyttää samoja oikeuksia kuin maksuton eli versiot eroavat toisistaan vain siinä, että ladatut mainokset eivät näy käyttäjälle."

Yksityiseen käyttöön asennettu sovellus ei aina ole pelkkä yksityisasia, sillä työ- ja yksityisasioita hoidetaan samoilla laiteilla. Yli puolet Vänskän aineiston sovelluksista haluaa käyttöoikeuksia puhelimen sisältämien tietojen ohella resursseihin, joilla laitteen ympäristöä voidaan vakoilla esimerkiksi työpaikalla.  

"Vakoileminen puhelimen avulla on teknisesti mahdollista, jos ohjelmat voivat käyttää sen bluetooth- tai WLAN-yhteyttä, kameraa tai mikrofonia ja välittää niiden keräämää tietoa verkkoyhteyden yli", Vänskä pohtii.

"Tietoa voidaan kuitenkin koota pelkästään yhdistämällä ohjelman omaa informaatiota muuhun puhelimessa olevaan tietoon ja analysoimalla laitteessa olevia tiedostoja. Oletko esimerkiksi joskus ottanut töissä kännykkäkuvia luottamuksellisesta kalvosarjasta tai nauhoittanut asiakkaan kanssa käymäsi puhelun?"

Matkapuhelinsovelluksen asentajan muistilista:

1. Katso, mitä käyttöoikeuksia ohjelma pyytää.


2. Tutki, kuka on julkaissut ohjelman, ja uskallatko luovuttaa hänelle tietojasi.


3. Ole erityisen tarkkana uusimpia ohjelmia, mainosrahoitteisia ohjelmia ja muita ilmaisohjelmia asentaessasi.


4. Mieti mihin sovellus tarvitsee paikannustietoasi. Jos se kerää myös luottamuksellisia tietoja, muista että paikannustiedon avulla ne voidaan yhdistää muuhun sinusta kerättyyn tietoon.


5. Esiasennetut ohjelmat ovat todennäköisesti turvallisimpia, sillä niiden alkuperä tunnetaan ja voimme odottaa, että niiden tietoturvasta on huolehdittu.


6. Mieti myös mitä tietoa säilytät kännykässäsi. Kannattaisiko työasioita varten pitää erillistä laitetta?

LISÄTIEDOT:

Toimitusjohtaja Petri Kairinen, puh. 040 832 1832, petri.kairinen [at] nixu.com



NIXU OY

Nixu Oy on Pohjoismaiden suurin tietoturvakonsultointiyritys. Yritysasiakkaamme luottavat riippumattomaan osaamiseemme tietoturvan kehitykseen, toteutukseen ja tarkastukseen liittyvissä hankkeissa. Huolehdimme asiakkaidemme kyberturvallisuudesta yritysturvallisuuden, sähköisen liiketoiminnan sekä teollisen internetin ratkaisualueilla. Lisätietoja meistä löytyy osoitteesta www.nixu.fi, www.nixu.fi/blogi sekä @nixutigerteam