Näin haittaohjelma tulee älypuhelimeen ja miten se estetään

Pari päivää sitten puhelimeeni kilahti tekstiviesti: "[OmaPosti] Sinulla on paketti, joka on allekirjoitettava, tarkista..." (ja is.gd-linkkilyhennyspalvelun taakse piilotettu osoite).

Haittaohjelma tyrkyttää itseään huijausviestillä.

Kyseessä on nykyään yleinen FakeCop, jonka toiminnasta voi lukea lisää esim. Ilta-Sanomien uutisesta 27.1.2021, ja se voi tuottaa uhrille ison puhelinlaskun (IS-juttu 15.2.2021). Viestissä mainittu linkki ei enää toimi, mutta sen takana oli aidolta Postin sivulta näyttävä huijaus, joka neuvoi päivittämään Chrome-selaimen.

"Päivitä Chrome turvallisuutesi vuoksi".

Samsungin selain ei ole Chrome, mutta harva peruskäyttäjä kiinnittää huomiota selaimen valmistajaan. Sen sijaan tämä on tärkeää: Älä koskaan päivitä sovellusta nettisivun linkillä! Mobiililaitteissa sovellukset päivittävät itsensä automaattisesti.

Älä lataa apk-tiedostoa!

Seuraavaksi huijaus pyytää lataamaan apk-tiedoston, joka on Androidin käyttämä ohjelmatiedostoformaatti. Älä tee niin! Itse tein latauksen ja lähetin apk-tiedoston Virustotal-palveluun, missä vain muutama virustorjuntaohjelma tunnisti sen. Ladattavia tiedostoja varioidaan, jotta virustorjunta ei tunnistaisi niitä, ja tekniikka näköjään toimii.

Vain muutama torjuntamoottori tunnisti viruksen tässä vaiheessa.

Siirsin tiedoston testipuhelimeen ja yritin käynnistää sen. Hyvä puoli on, että toisin kuin Windowsissa, mobiililaitteissa netistä ladattuja tai sähköpostilla saatuja tiedostoja ei voi suoraan käynnistää. Rikollisten täytyy onnistua huijaamaan uhri käynnistämään haittaohjelman itse. Tässä kohdassa jokainen pystyy suojaamaan puhelimensa ja itsensä -- älä siis koskaan lataa äläkä asenna epämääräisiä ohjelmia, pyydettiinpä sitä millä verukkeella tahansa.

Älä siis tee näin, kuten minä tein opetustarkoituksissa:

Haittaohjelman asentaminen.

Android varoittaa, ettei tästä lähteestä voi asentaa tuntemattomia sovelluksia.

"Puhelin ei voi asentaa tuntemattomia sovelluksia tästä lähteestä."

Se tarjoaa kuitenkin Asetukset-painikkeen, jolla rajoitus voidaan hetkeksi poistaa. Samalla se varoittaa vielä kerran vaaroista, mitä Play-kaupan ulkopuolelta asennettaviin ohjelmiin liittyy.

Salli tästä lähteestä -asetus.

Täppää siirtämällä asennus onnistuu ja haittaohjelma lisää itsensä muiden sovellusten joukkoon. FakeCop käyttää Google Chromen kuvaketta, joten sitä ei tunnista haitalliseksi. Tarkkasilmäinen voi ihmetellä, miksi asennettujen ohjelmien listassa näkyy peräkkäin kaksi Chromea, joista toinen on yli 50 megatavua (oikea selain) ja toinen vain 428 kilotavua (haittaohjelma).

Hetkinen... kaksi Chromea?

Toinen kummastusta herättävä kohta on vale-Chromen pyytämät oikeudet. Miksi selaimen pitäisi päästä tekstiviesteihin, yhteystietoihin ja saada oikeus soittaa puheluita?

Haitake haluaa oikeudet puhelimeen ja tekstiviesteihin. 

Testipuhelimessa ei ollut sim-korttia, jotta haittaohjelma ei pystyisi levittämään itseään. Nettiyhteys oli, joten FakeCop pystyi ottamaan yhteyttä komentopalvelimeen. Se ei vain pystynyt tekemään mitään. Puhelin toimi normaalisti eikä mistään ulkoisesta syystä voinut havaita, että haittaohjelma oli käynnissä.

Viruksen jälkeen asensin F-Secure SAFE-ohjelman. Jäi siis kokeilematta, olisiko aktiivinen torjuntaohjelma estänyt asennuksen. Luultavasti. Jälkikäteen skannauksessa haittaohjelma paljastui.

F-Secure Safe löytää haittaohjelman puhelimesta.

Haittaohjelmien yhä lisääntyessä virustorjuntaohjelma saattaa olla paikallaan, varsinkin jos puhelimeen ladataan pelejä ja sitä käytetään huolimattomasti. Ilman torjuntaohjelmaakin pärjää, kunhan ei lataa epämääräisiä ohjelmia eikä ikinä asenna mitään nettisivulta. Älä asenna puhelimeen yhtään ylimääräistä sovellusta, niin pysyt turvassa.

Kuten kuvista näkyy, saa syyttää vain itseään, mikäli ei lue eikä ymmärrä Androidin monia varoituksia Play-kaupan ohittavan oheislatauksen (ns. side loading) vaaroista.

BTW, Google on näköjään taas lisännyt uuden suojaustason Chrome-selaimeen. Se kannattaa kytkeä päälle. Haittapuolena tosin on, että ilmoituksen mukaan epäilyttävät url-osoitteet lähetetään Googlen tarkistettavaksi, mikä voi aiheuttaa tietosuojahuolia. 

Googlen "Parannettu suojaus" on osa selaussuojan asetuksia.

Chromen asetus löytyy kohdasta chrome://settings/security.

Lisäys 16.4.2021: Ilta-Sanomat on tehnyt saman kokeilun videona, tosin jättävät varsinaisen haittaohjelman asentamatta. 

Tekoälyn etiikka, Google Translate ja woke-signalointi

Naistenpäivän kunniaksi Googlen kääntäjästä nousi pienimuotoinen kohu. Median oli helppo tarttua aiheeseen, joka ainakin itselleni oli tuttu jo ennestään: kun suomen kielen pronomineja ei voi kääntää englantiin, Google valitsee todennäköisimmän. Niinpä Maikkarin uutinen syytti Googlea ummehtuneiden sukupuoliroolien toistamisesta, Journalistin päätoimittaja Maria Pettersson kommentoi Twitterissä "Kyllä, algoritmi voi olla seksisti, ja onkin".

Hmm... voiko algoritmi olla seksistinen? Vaikka tapaus juontaa juurensa kielitieteeseen, se koskettaa ajankohtaista ja herkkää aihetta: tekoälyn vinoutumia (bias) sekä sen tapaa vahvistaa usein piiloon jääviä kaavamaisia ja stereotyyppisiä ajatusmalleja.

Insinöörin näkökulma on selvä: kääntäjän algoritmi ei ymmärrä tekstistä mitään, se vain etsii netistä tilastollisesti sopivimman vaihtoehdon. Yksittäistä lausetta "hän on lääkäri" tai "hän on johtaja" ei voi kääntää englanniksi tietämättä, onko kyse miehestä vai naisesta. Suomi on harvoja kieliä, joissa sukupuolella ei ole väliä. Siten tilastollisesti yleisin muoto on paras valinta käännösvastineeksi.

Hän on johtaja. Hän on lääkäri.

Monissa kielissä maskuliinimuoto on oletusarvo, joka juontaa juurensa kielen alkuhämäristä asti, ja on paljon syvempi asia kuin pelkkä ammattien tai toimintojen sukupuolijako. Kun Google kääntää johtajan mieheksi (he) ja lääkärin naiseksi (she), se kuvastaa vallitsevia oloja. Ainakin Suomessa enemmistö johtajista on miehiä ja lääkäreistä naisia (vähän yleistäen). 

Mutta riittääkö tässä insinöörilogiikka? Miten Googlen pitäisi toimia, jotta se olisi moderni ja ottaisi huomioon aikojen muuttumisen? Kaikenkattava "he/she is a doctor" olisi kömpelö ja käyttäjä joutuisi korjaamaan sen kaikista teksteistä manuaalisesti. Kääntäjä toimii myös puheella, joten puhekielisenä lausuttu "he/she" kertoo enemmän meistä suomalaisista kuin englantia puhuvista. He ovat tottuneet he-pronominin ylivaltaan. He/she olisi suomalainen bias.

Kun yritämme saada algoritmista ulos halutun lopputuloksen, sovellamme siihen omaa länsimaista bias-ajattelua. Vain puhtaasti tilastollinen ja algoritminen käsittely on täysin bias-vapaata. Vähän kuin Bitcoin, joka on luotettava vain siksi, että se on pelkkää matematiikkaa. Rahapolitiikka tai pankit konnineen eivät pääse vaikuttamaan. 

Pohjimmiltaan vika on datassa. Internetissä on liikaa tekstiä, joissa naiset ja miehet ovat stereotyyppisissä asemissa. Toisaalta juuri se on tämän päivän todellisuus. Googlen kääntäjä on pelkkä työkalu, joka heijastaa todellisuutta, ja käyttäjän pitää itse ottaa vastuuta tuloksista. Ei vasaraakaan voi syyttää, jos sillä lyö sormeensa.

Pitäisikö Googlen ohjelmoijien "tiedostaa" (sana, joka on taas noussut esiin 70-luvulta) valtansa ja korjata lähtödatassa olevat vinoumat algoritmia muuttamalla? Pitäisikö algoritmin ohjata käyttäjiä "moderniin" ajatteluun vanhojen rakenteiden toistamisen sijaan? Ohjelmien eettisyyttä on pohdittu Googlella jo vuonna 2018 myös konekäännöksen osalta (päivitetty versio 2020).

Jos algoritmeja lähdetään peukaloimaan maailman parantamiseksi ja tiedostavuuden lisäämiseksi, koodareille syntyy näkymätöntä valtaa, jota on houkutus käyttää väärin. Emme nytkään voi tietää, antaako Googlen hakukone neutraaleja tuloksia, vai onko sitäkin viilattu korjaamaan netin "vääristymiä".

Tekoälyn etiikka on kuuma puheenaihe. Poliisin ja sairaaloiden AI-järjestelmissä on käytetty lähtödatana vanhaa historiaa, joka johtaa esimerkiksi mustaihoisten pidempiin tuomioihin ja heille tyypillisten sairauksien alidiagnosointiin. Perimmäinen ongelma on historiassa, siis datassa, vallitsevissa olosuhteissa. Sen korjaaminen tekoälyvaiheessa luo näköharhan ongelman poistumisesta.

Ennen kaikkea järjestelmien käyttäjiä pitää kouluttaa tekoälyn työkalumaisuudesta. Se ei voi tehdä päätöksiä, vaan niistä valta ja vastuu jäävät aina ihmiselle. Tekoälyn taakse piiloutuminen on pelkuruutta.

Sukupuolipronominin valintaa eettisenä kysymyksenä voi pohtia, mutta vielä tärkeämpiä ovat Twitter ja Facebook, jotka vaikuttavat suoraan ihmisten ajatteluun ja toimintaan. Ei ole samantekevää, millaisia eettisiä valintoja tekoälyalgoritmit tekevät nostaessaan postauksia esiin.

Mutta millaista on se etiikka, jota some-yhtiöiden pitäisi noudattaa? Tehtävä on käänteinen Google-esimerkkiin verrattuna, sillä päivityksiin nimenomaisesti halutaan biasta - halutaan vahvistaa myönteisiä asioita ja estää kielteisiä. Tämän toteuttaminen globaalissa some-palvelussa on liki mahdoton tehtävä, sillä arvot ovat hyvin paikallisia.

Jos länsimaiset woke-herätyksen kokeneet koodarit haluavat luoda eettisesti kestävän somepalvelun, he tulevat samalla toteuttaneeksi länsimaisen ihmisen (yleensä vielä valkoihoisen miehen) etiikkaa. Aasiassa, Venäjällä tai Afrikassa eettiset arvot ovat erilaisia ja meidän etiikkamme on heille vahvasti biasoituntta, jopa siirtomaavaltaa ja läntistä hapatusta pönkittäviä.

Palataan siihen dataan. Maailmaa pitää muuttaa teoilla, ei tekoälyllä.

Muutosta odotellessa voi tutustua vaikka Helsingin yliopiston Tekoälyn etiikka online-kurssiin. 

Lisää huijauksia kryptovaluutoilla - ammattilainenkin voi mennä vipuun

Onecoin, Wiseling, Microsoftin tukipuhelut... nykyinen globaali nettimaailma on täynnä huijauksia, ja uusia tunkee niin ovista kuin ikkunoista.

Kuvailemani huijaussoitto-tapaus herätti kommentteja siitä, miten helppoa on huijata tietotekniikkaa tuntemattomia maallikoita tai eläkeläisiä. Ei kannata koskaan aliarvioida huijareita! Myös it-ammattilaiset voivat mennä vipuun, varsinkin jos huijari sattuu iskemään juuri, kun uhri on jostain syystä alttiina ja haavoittuvainen.

Esimerkki Bitcoin-huijauksesta löytyy Sankari.net-sivulta (Sanna + Kari): http://sankari.net/wallets.html. Tässä tapauksessa uhria ei voi syyttää osaamattomaksi, sillä Sanna Roine on pitkän linjan it-ammattilainen, hänellä on iki-osoite ja viestissään hän kertoo kirjoittaneensa web-sivujen html-koodin Emacsilla käsityönä! 

Jos ei tämä riitä osoitukseksi ammattilaisuudesta niin mikä sitten? Ja ammattilaisiakin voidaan huijata. 

Sanna ja Kari ovat dokumentoineet huijauksen sähköpostiviesteineen ja jopa puhelutallenteineen sivulleen. Tarina ei avaudu ihan helposti, mutta tiivistettynä kyse on siitä, että Sanna huijattiin ostamaan 1.8.2017 Bitcoineja noin 160 000 euron arvosta. Niiden muuttaminen takaisin euroiksi ei sitten onnistunutkaan. Nyt Sanna joutuu seuraamaan hampaita kiristellen 72 Bitcoinin pottia lohkoketjussa (arvo 41 000 euron kurssilla 2 950 000 euroa). "All my money I have ever earned and had during my life is in bitcoins unreachable. The money is inheritance of my mother, my sold appartment, inheritance of my uncle, sold stocks."

Tässä tapauksessa on kaksi oleellista asiaa: 1) kuka tahansa voi tulla huijaukseksi, myös it-ammattilainen, ja jos niin käy 2) viranomaiset ovat voimattomia auttamaan. Traficomin CERT on ilmoittanut bitcoin-osoitteen abuse-listalle, mutta sen voi tehdä itsekin. Suomen poliisi (rikosilmoitus) on lopettanut tapauksen tutkinnan, koska sillä ei ole toimivaltuuksia. Sanna kertoo, etteivät viranomaiset edes vastaa hänen viesteihinsä.

Pientä toivoa tuo sivun lopussa mainittu Britannian viranomaisten reagointi asiaan. Ehkä varat vielä joskus saadaan palautettua oikeille omistajille.

===

Aivan erillisenä asiana vielä esimerkki toisesta Bitcoin-huijauksesta, joka näyttää poskettomalta jo lyhyen perehtymisen jälkeen. Aitojen kryptovaluuttojen nousu on vetänyt mukanaan suuren joukon huijareita ja vastaavia tuottosivustoja on noussut kuin sieniä sateella.

Mactradex lupaa kryptovaluutoille huimia tuottoja, sillä "Mactradex LIMITED is involved in cloud mining, which enables our company to earn Bitcoins and other currencies without mining hardware, software, electricity, or bandwidth" - siis tuottoja ilman kuluja. Sounds legit!

24 % päivätuottoja?

Poskettomien tuottojen lisäksi epäilyksiä saattaisi herättää sellainen yksityiskohta, että vaikka katuosoite on Broadwayllä New Yorkissa, puhelinnumerossa on Cookos-saarten maakoodi. Jep jep.

===

Kolmas poimintani tuli sähköisesti. Henkilö kertoi sosiaalisessa mediassa käymästään pitkästä keskustelusta, jossa ilmeisen valeprofiilin takaa oli suositeltu ostamaan Terra-Luna-kryptovaluuttaa. Arvon uskotaan kasvavan lähitulevaisuudessa moninkertaisesti.

On mahdoton tietää, onko suosittelutoiminta järjestelmällistä ja koordinoitua, vai ainoastaan yhden hurahtaneen omaa toiveajattelua. Valeprofiilin käyttö saa kuitenkin epäilemään, ettei suosittelijalla ole ihan puhtaita jauhoja kryptolompakossaan.

Terran arvo oli vielä muutama kuukausi sitten selvästi alle dollarin, tuorein noteeraus on 7,92 dollaria. Näitä pump-and-dump-valuuttoja riittää, joten ei pidä antaa lyhytkestoisen arvonnousun hämätä.