tiistai 13. marraskuuta 2018

Kohu Yango -taksisovelluksesta on täynnä kysymyksiä

Helsingin Sanomat uutisoi toissapäivänä, miten venäläisen Yandexin taksisovellus haluaa tavallista enemmän oikeuksia käyttäjän älypuhelimeen. Vaikka yhtiön kotipaikka on Hollannissa, on mahdollista (suorastaan luultavaa) että henkilötietoja päätyy Venäjälle.

MTV pisti vielä paremmaksi. Sen uutisessa siteerattiin Liettuan varapuolustusministeriä, jonka mukaan valtavat määrät henkilötietoja siirtyy hyvin kryptattuna Venäjälle jonnekin Jekaterinburgin lähistölle. Ohjelma myös jatkaa GPS-tietojen lähettämistä senkin jälkeen, kun käyttö on lopetettu.

"Vaikka käyttäjä lopettaisi Yandex-taksisovelluksen, se pysyy aktiivisena".
Tämä kaikki herättää kysymyksiä. On täysin mahdollista, että venäläinen taksisovellus urkkii käyttäjien älypuhelimia ja välittää tietoja Venäjälle ties mihin tarkoituksiin.

Tiedetään, että Uber-sovellus on urkkinut puhelimista tietoja, joiden perusteella matkan hintaa on nostettu esimerkiksi niin, että kun akku on lähes lopussa, Uber näyttää kyydille kalliimman hinnan, koska silloin asiakas on silloin valmis maksamaan enemmän saadakseen auton heti.

Muutama vuosi sitten Uberin sovellus keräsi niin paljon tietoa, että koodiin perehtynyt tutkija kutsui sitä haittaohjelmaksi. Uber "soitti kotiin" ja välitti tietoja, joihin se ei ollut pyytänyt edes lupaa: soittohistorian, käytetyt wifi-tukiasemat, sijainnit, laite-id:t, jopa lähistöllä kuuluneet wlan-verkot tunnuksineen ja taajuuksineen. Sitten hakkeri murtautui Uberiin, varasti 57 miljoonan käyttäjän tiedot ja kiristi niillä rahaa. Uber maksoi hakkerin hiljaiseksi ja pimitti tapahtuneen, kunnes se vuoti julkisuuteen 2017 ja johti mm. toimitusjohtajan potkuihin.

Uutisen esittämillä tiedoilla vastaava johtopäätös Yangosta on kuitenkin ennenaikainen.

Uutistekstin mukaan Yangon taksisovellus "ottaa haltuunsa valtavan määrän käyttäjädataa". Ilmeisesti tällä tarkoitetaan, että sovellus pyytää oikeuksia mm. osoitekirjaan, sosiaaliseen mediaan ja tekstiviesteihin. Uutinen ei kerro toimiiko sovellus, jos oikeuksia ei anna. Joillekin oikeuksille löytyy perusteluita, esimerkiksi sijaintitieto on tarpeellinen ja matkan voi ehkä jakaa sosiaalisen median kautta ystäville. Vanhemmissa Android-versioissa oikeuksien luokittelu on epätarkkaa, jolloin lupakysymys näyttää epätarkalta.

Uutisen mukaan sovellus jatkoi aktiivisena lopettamisen jälkeenkin ja lähetti "erittäin hyvin kryptattua dataa jonnekin EU:n ulkopuolelle". Toisaalta "todellisuudessa käyttäjädataa siirrettiin kryptattuna Venäjälle". Jos data oli kryptattua, mistä tiedettiin sen olevan käyttäjädataa? Monet sovellukset keräävät ns. telemetriatietoa sovellusten käytöstä, tunnetuimpana Windows 10:stä noussut kohu.

On myös epäselvää, mitä sovelluksen lopettaminen tässä tarkoittaa. Mobiilisovelluksia ei yleensä tarvitse lopettaa, vaan ne jäävät tausta-ajoon ja käyttöjärjestelmä huolehtii niiden hallinnasta itse. Joissakin sovelluksissa on erityinen lopetuskomento. Jos Yango näyttää loppuvan, mutta jättää silti itsensä taustalle, toiminta herättää epäilyksiä.

Tiedonsiirto oli "jäljitetty" jonnekin Jekaterinburgin ja Moskovan tienoille. Heikkoa on venäläisten osaaminen, jos eivät pysty tämän paremmin siirron kohdetta piilottamaan. Siihen riittäisi datan kierrättäminen vaikka Mäntsälän datakeskuksen kautta. Tai sitten Latvia oli saanut tiedusteluapua esimerkiksi NSA:lta, jota se ei voinut julkisesti kertoa.

Epämääräiset väitteet herättävät kysymyksiä. Liettuan varapuolustusministeri kehottaa Suomen kyberturvallisuuskeskusta ottamaan yhteyttä, jotta he voivat jakaa tietonsa suomalaisille. On hyvin erikoista, että viranomaisten välinen yhteydenpito tapahtuu tv-uutisten kautta, mutta toivottavasti Suomen viranomaiset tarttuvat pyyntöön ja selvittävät asian.

"Ottakaa yhteyttä meidän kuberturvallisuuskeskukseemme".
Ehkä kyseessä on Venäjän salakavala urkintasovellus, ehkä uutisankka. Suomalaisilla on oikeus tietää. Sitä edellyttää myös kansallinen tavoite kyberturvallisuuden vahvistamisesta ja GDPR-lain valvonta.

Kyberturvallisuuskeskus vetoaa siihen, ettei heillä ole resursseja yksittäisen sovelluksen tutkimiseen. Ei varmaan olekaan, mutta F-Securen toimisto on Salmisaaressa ja Nixu muutaman kilometrin päässä Otaniemessä. Ennen Kyberturvallisuuskeskus oli kivenheiton päässä näistä, mutta muutti äskettäin toiselle puolelle Helsinkiä Kumpulaan. Muitakin alan yrityksiä löytyy. Eikö heiltä voi ostaa konsultointia asiassa?

PS. Suuri Yandexin datakeskusta työllistää Suomessa vain 17 henkilöä. Ei Suomen kannata lisätä hiilidioksidipäästöjä ja alentaa sähköveroa ainakaan työllisyyssyistä. Mukana voi tulla myös yllättäviä seurauksia, kuten nyt kiista siitä, pitääkö tietosuoja-asiaa selvittää yhtiön pääkonttorin vai datakeskuksen sijaintimaassa. Jatkossa datan sijaintiin voi liittyä myös kansallisen turvallisuuden ja juridiikan kysymyksiä.

Muokattu 14.11.2018

Lisäys 22.11.2018: Tietoturvatutkijan mukaan Yangossa on sisäänrakennettu puheentunnistusominaisuus, joka lähettää dataa Venäjälle. Kiinnostavaa. Kuuntelisiko ohjelma salaa puhelimen ympärillä tapahtuvia keskusteluja? 

4 kommenttia:

Tellervo Ankka kirjoitti...

Venäjä-hokeminen on niin makaaberia ja idioottimaista että kuinka tyhmänä tiedostusvälineet oikein pitävät meitä? Länsi ja erityisesti USA vakoilee, urkkii, hakkeroi, sotkee, sotii, pilaa, tuhoaa, korruptoi, mädättää tuhatkertaisesti johonkin Venäjään nähden. Totta kai Venäjä pitää puolensa mutta sillä ei ole samat resurssit eikä sillä ole sitä saatanallista missiota joka niin sanotulla lännellä on. Venäjä ja monet ns. kolmannen maailman maat ovat syvästi uskonnollisia ja moraalisesti aivan eri tasolla kuin mätä viihdelänsi.

Entä miten tämä Jessikka Aro, voisiko hän nyt selvittää tämän kun tuntee Venäjän?

Ehkä Hybridikeskuksen naiset, vai onko työ siellä liian kiireistä ja rasittavaa? Hehän surffaavat päivät pitkät netissä ja kopioivat ja pastaavat sieltä muiden tekemiä tutkimuksia eli kovaa on heidän hommansa. Ja niin raskasta se on että heidät suomalaisuudestaan huolimatta on pitänyt suojata lain kouraltakin.

Anonyymi kirjoitti...

tilitiedot, puhelintiedot, netin selaustiedot jne, kaikki vapaasti saatavilla sen tutun poliisimiehen tai kelatädin kautta nopeasti.. mitä tässä uutta, se että naapurin idänpojat vielä näkee ne niin ei paljon tilannetta muuta, mutta eihän me lampaat huolissaan tarvi olla, lemmensaaret ja bb-talot pyörii ja kaupasta saa limuviinoja, huolissaan tarvitsee olla vasta sitten kun hallituksemme vaihtuu lähemmäs niinkuin toisenmaailmansodan saksan hallitusta, tietyt ryhmät voivat joutua erilaisiin joukkokuljetus välineisiin, ei varmaan auta silloin selitellä että en ole pahaa tehnyt, nythän sitä porukka puolustelee.

Anonyymi kirjoitti...

"tilitiedot, puhelintiedot, netin selaustiedot jne, kaikki vapaasti saatavilla sen tutun poliisimiehen tai kelatädin kautta nopeasti.."

Tilitiedot on tosiaan tarkoitus tuoda poliisin ja kelan saataville napin painalluksella, ei noita muita. Edes anonyymejä puhelin- ja nettiliittymiä ei ole vielä kielletty.

Silmukka voi kiristyä kansalaisten ympärillä vaalien jälkeen. SDP:n ohjelmassa on mm. käteisen rahan käytön vähentämistä ja maasta poismuuttamisen verollepano. Käteinen raha on jo nyt jossain määrin arvotonta, koska et voi tallettaa sitä pankkitilille ilman kuulustelua sen alkuperästä. Käteisen käyttö on muutenkin jo niin vähäistä, että sen edelleen vähentämisellä voi tuskin olla muuta motiivia kuin kansalaisten kontrollointi. Exit-verolla taas saadaan mahdollisesti kerättyä noin kymmenesosa toiseen suuntaan eli maahan sisään tulevien ilman henkilöllisyyspapereita kulkevien henkilöiden elättämiseen tarvittavista rahoista (en tiedä tarkkoja lukuja).

Eetu kirjoitti...

Mielenkiintoisia kyllä nämä älypuhelin taksisovellukset, miten voi olla mahdollista. En olet itse edes kuullut, että ne vievät näin paljon tietoa käyttäjästä minne sattuu. Täällä Mikkelissä tosin ei ole vielä muutakuin tavallisia takseja, eikä älypuhelintakseja.