Helsingin Sanomat uutisoi toissapäivänä, miten venäläisen Yandexin taksisovellus haluaa tavallista enemmän oikeuksia käyttäjän älypuhelimeen. Vaikka yhtiön kotipaikka on Hollannissa, on mahdollista (suorastaan luultavaa) että henkilötietoja päätyy Venäjälle.
MTV pisti vielä paremmaksi. Sen uutisessa siteerattiin Liettuan varapuolustusministeriä, jonka mukaan valtavat määrät henkilötietoja siirtyy hyvin kryptattuna Venäjälle jonnekin Jekaterinburgin lähistölle. Ohjelma myös jatkaa GPS-tietojen lähettämistä senkin jälkeen, kun käyttö on lopetettu.
Tämä kaikki herättää kysymyksiä. On täysin mahdollista, että venäläinen taksisovellus urkkii käyttäjien älypuhelimia ja välittää tietoja Venäjälle ties mihin tarkoituksiin.
Tiedetään, että Uber-sovellus on urkkinut puhelimista tietoja, joiden perusteella matkan hintaa on nostettu esimerkiksi niin, että kun akku on lähes lopussa, Uber näyttää kyydille kalliimman hinnan, koska silloin asiakas on silloin valmis maksamaan enemmän saadakseen auton heti.
Muutama vuosi sitten Uberin sovellus keräsi niin paljon tietoa, että koodiin perehtynyt tutkija kutsui sitä haittaohjelmaksi. Uber "soitti kotiin" ja välitti tietoja, joihin se ei ollut pyytänyt edes lupaa: soittohistorian, käytetyt wifi-tukiasemat, sijainnit, laite-id:t, jopa lähistöllä kuuluneet wlan-verkot tunnuksineen ja taajuuksineen. Sitten hakkeri murtautui Uberiin, varasti 57 miljoonan käyttäjän tiedot ja kiristi niillä rahaa. Uber maksoi hakkerin hiljaiseksi ja pimitti tapahtuneen, kunnes se vuoti julkisuuteen 2017 ja johti mm. toimitusjohtajan potkuihin.
Uutisen esittämillä tiedoilla vastaava johtopäätös Yangosta on kuitenkin ennenaikainen.
Uutistekstin mukaan Yangon taksisovellus "ottaa haltuunsa valtavan määrän käyttäjädataa". Ilmeisesti tällä tarkoitetaan, että sovellus pyytää oikeuksia mm. osoitekirjaan, sosiaaliseen mediaan ja tekstiviesteihin. Uutinen ei kerro toimiiko sovellus, jos oikeuksia ei anna. Joillekin oikeuksille löytyy perusteluita, esimerkiksi sijaintitieto on tarpeellinen ja matkan voi ehkä jakaa sosiaalisen median kautta ystäville. Vanhemmissa Android-versioissa oikeuksien luokittelu on epätarkkaa, jolloin lupakysymys näyttää epätarkalta.
Uutisen mukaan sovellus jatkoi aktiivisena lopettamisen jälkeenkin ja lähetti "erittäin hyvin kryptattua dataa jonnekin EU:n ulkopuolelle". Toisaalta "todellisuudessa käyttäjädataa siirrettiin kryptattuna Venäjälle". Jos data oli kryptattua, mistä tiedettiin sen olevan käyttäjädataa? Monet sovellukset keräävät ns. telemetriatietoa sovellusten käytöstä, tunnetuimpana Windows 10:stä noussut kohu.
On myös epäselvää, mitä sovelluksen lopettaminen tässä tarkoittaa. Mobiilisovelluksia ei yleensä tarvitse lopettaa, vaan ne jäävät tausta-ajoon ja käyttöjärjestelmä huolehtii niiden hallinnasta itse. Joissakin sovelluksissa on erityinen lopetuskomento. Jos Yango näyttää loppuvan, mutta jättää silti itsensä taustalle, toiminta herättää epäilyksiä.
Tiedonsiirto oli "jäljitetty" jonnekin Jekaterinburgin ja Moskovan tienoille. Heikkoa on venäläisten osaaminen, jos eivät pysty tämän paremmin siirron kohdetta piilottamaan. Siihen riittäisi datan kierrättäminen vaikka Mäntsälän datakeskuksen kautta. Tai sitten Latvia oli saanut tiedusteluapua esimerkiksi NSA:lta, jota se ei voinut julkisesti kertoa.
Epämääräiset väitteet herättävät kysymyksiä. Liettuan varapuolustusministeri kehottaa Suomen kyberturvallisuuskeskusta ottamaan yhteyttä, jotta he voivat jakaa tietonsa suomalaisille. On hyvin erikoista, että viranomaisten välinen yhteydenpito tapahtuu tv-uutisten kautta, mutta toivottavasti Suomen viranomaiset tarttuvat pyyntöön ja selvittävät asian.
Ehkä kyseessä on Venäjän salakavala urkintasovellus, ehkä uutisankka. Suomalaisilla on oikeus tietää. Sitä edellyttää myös kansallinen tavoite kyberturvallisuuden vahvistamisesta ja GDPR-lain valvonta.
Kyberturvallisuuskeskus vetoaa siihen, ettei heillä ole resursseja yksittäisen sovelluksen tutkimiseen. Ei varmaan olekaan, mutta F-Securen toimisto on Salmisaaressa ja Nixu muutaman kilometrin päässä Otaniemessä. Ennen Kyberturvallisuuskeskus oli kivenheiton päässä näistä, mutta muutti äskettäin toiselle puolelle Helsinkiä Kumpulaan. Muitakin alan yrityksiä löytyy. Eikö heiltä voi ostaa konsultointia asiassa?
PS. Suuri Yandexin datakeskusta työllistää Suomessa vain 17 henkilöä. Ei Suomen kannata lisätä hiilidioksidipäästöjä ja alentaa sähköveroa ainakaan työllisyyssyistä. Mukana voi tulla myös yllättäviä seurauksia, kuten nyt kiista siitä, pitääkö tietosuoja-asiaa selvittää yhtiön pääkonttorin vai datakeskuksen sijaintimaassa. Jatkossa datan sijaintiin voi liittyä myös kansallisen turvallisuuden ja juridiikan kysymyksiä.
Muokattu 14.11.2018
MTV pisti vielä paremmaksi. Sen uutisessa siteerattiin Liettuan varapuolustusministeriä, jonka mukaan valtavat määrät henkilötietoja siirtyy hyvin kryptattuna Venäjälle jonnekin Jekaterinburgin lähistölle. Ohjelma myös jatkaa GPS-tietojen lähettämistä senkin jälkeen, kun käyttö on lopetettu.
 |
| "Vaikka käyttäjä lopettaisi Yandex-taksisovelluksen, se pysyy aktiivisena". |
Tiedetään, että Uber-sovellus on urkkinut puhelimista tietoja, joiden perusteella matkan hintaa on nostettu esimerkiksi niin, että kun akku on lähes lopussa, Uber näyttää kyydille kalliimman hinnan, koska silloin asiakas on silloin valmis maksamaan enemmän saadakseen auton heti.
Muutama vuosi sitten Uberin sovellus keräsi niin paljon tietoa, että koodiin perehtynyt tutkija kutsui sitä haittaohjelmaksi. Uber "soitti kotiin" ja välitti tietoja, joihin se ei ollut pyytänyt edes lupaa: soittohistorian, käytetyt wifi-tukiasemat, sijainnit, laite-id:t, jopa lähistöllä kuuluneet wlan-verkot tunnuksineen ja taajuuksineen. Sitten hakkeri murtautui Uberiin, varasti 57 miljoonan käyttäjän tiedot ja kiristi niillä rahaa. Uber maksoi hakkerin hiljaiseksi ja pimitti tapahtuneen, kunnes se vuoti julkisuuteen 2017 ja johti mm. toimitusjohtajan potkuihin.
Uutisen esittämillä tiedoilla vastaava johtopäätös Yangosta on kuitenkin ennenaikainen.
Uutistekstin mukaan Yangon taksisovellus "ottaa haltuunsa valtavan määrän käyttäjädataa". Ilmeisesti tällä tarkoitetaan, että sovellus pyytää oikeuksia mm. osoitekirjaan, sosiaaliseen mediaan ja tekstiviesteihin. Uutinen ei kerro toimiiko sovellus, jos oikeuksia ei anna. Joillekin oikeuksille löytyy perusteluita, esimerkiksi sijaintitieto on tarpeellinen ja matkan voi ehkä jakaa sosiaalisen median kautta ystäville. Vanhemmissa Android-versioissa oikeuksien luokittelu on epätarkkaa, jolloin lupakysymys näyttää epätarkalta.
Uutisen mukaan sovellus jatkoi aktiivisena lopettamisen jälkeenkin ja lähetti "erittäin hyvin kryptattua dataa jonnekin EU:n ulkopuolelle". Toisaalta "todellisuudessa käyttäjädataa siirrettiin kryptattuna Venäjälle". Jos data oli kryptattua, mistä tiedettiin sen olevan käyttäjädataa? Monet sovellukset keräävät ns. telemetriatietoa sovellusten käytöstä, tunnetuimpana Windows 10:stä noussut kohu.
On myös epäselvää, mitä sovelluksen lopettaminen tässä tarkoittaa. Mobiilisovelluksia ei yleensä tarvitse lopettaa, vaan ne jäävät tausta-ajoon ja käyttöjärjestelmä huolehtii niiden hallinnasta itse. Joissakin sovelluksissa on erityinen lopetuskomento. Jos Yango näyttää loppuvan, mutta jättää silti itsensä taustalle, toiminta herättää epäilyksiä.
Tiedonsiirto oli "jäljitetty" jonnekin Jekaterinburgin ja Moskovan tienoille. Heikkoa on venäläisten osaaminen, jos eivät pysty tämän paremmin siirron kohdetta piilottamaan. Siihen riittäisi datan kierrättäminen vaikka Mäntsälän datakeskuksen kautta. Tai sitten Latvia oli saanut tiedusteluapua esimerkiksi NSA:lta, jota se ei voinut julkisesti kertoa.
Epämääräiset väitteet herättävät kysymyksiä. Liettuan varapuolustusministeri kehottaa Suomen kyberturvallisuuskeskusta ottamaan yhteyttä, jotta he voivat jakaa tietonsa suomalaisille. On hyvin erikoista, että viranomaisten välinen yhteydenpito tapahtuu tv-uutisten kautta, mutta toivottavasti Suomen viranomaiset tarttuvat pyyntöön ja selvittävät asian.
 |
| "Ottakaa yhteyttä meidän kuberturvallisuuskeskukseemme". |
Kyberturvallisuuskeskus vetoaa siihen, ettei heillä ole resursseja yksittäisen sovelluksen tutkimiseen. Ei varmaan olekaan, mutta F-Securen toimisto on Salmisaaressa ja Nixu muutaman kilometrin päässä Otaniemessä. Ennen Kyberturvallisuuskeskus oli kivenheiton päässä näistä, mutta muutti äskettäin toiselle puolelle Helsinkiä Kumpulaan. Muitakin alan yrityksiä löytyy. Eikö heiltä voi ostaa konsultointia asiassa?
PS. Suuri Yandexin datakeskusta työllistää Suomessa vain 17 henkilöä. Ei Suomen kannata lisätä hiilidioksidipäästöjä ja alentaa sähköveroa ainakaan työllisyyssyistä. Mukana voi tulla myös yllättäviä seurauksia, kuten nyt kiista siitä, pitääkö tietosuoja-asiaa selvittää yhtiön pääkonttorin vai datakeskuksen sijaintimaassa. Jatkossa datan sijaintiin voi liittyä myös kansallisen turvallisuuden ja juridiikan kysymyksiä.
Muokattu 14.11.2018
