Posted in Tietoturva

Puhelinvertailu: parhaat ja pahimmat puhelimet henkilötietojen suojaamisessa

Kun Nokia ja muutama muu puhelinvalmistaja esitteli ensimmäiset älypuhelimet noin 20 vuotta sitten, yhteinen visio oli saada laitteet kaikkien ihmisten taskuihin tai laukkuihin. 20 vuotta sitten kukaan ei kuitenkaan nähnyt puhelimista kerätyn henkilökohtaisen datan muodostavan niin valtavaa liiketoimintaa, että lähes kaikki haluaisivat osallistua siihen. Nyt Englannin ja Irlannin yliopistoissa on tehty tutkimus minkä valmistajien Android-puhelimet keräävät eniten yksityisiä tietoja.

Edinburghin yliopiston ja Dublinin Trinity Collegen tutkijat julkaisivat lokakuussa 2021 raportin Android Mobile OS Snooping By Samsung, Xiaomi, Huawei and Realme Handsets, jossa he tutkivat yksityiskohtaisesti mitä dataa näiden valmistajien suositut puhelinmallit lähettävät niin valmistajille kuin muillekin tahoille. Raportti kokonaisuudessaan löytyy täältä.

Tutkimuksen tulokset ovat kammottavaa katseltavaa puhelinvalmistajille, mutta tulokset ovat erittäin hyviä riippumattomille ohjelmistonkehittäjille, jotka ovat tehneet Google-vapaat tietosuojaltaan erinomaiset versiot Android-käyttöjärjestelmästä.

android-puhelinten tietosuoja: tutkimuksen lopputulos taulukossa
Lähde: Android Mobile OS Snooping By Samsung, Xiaomi, Huawei and Realme Handsets – raportti.

Tietosuojaltaan parhaat Android-puhelimet

Ensin hyvät uutiset. Jos henkilötietojesi, perheesi, ystäviesi, työsi ja ylipäätään elämääsi liittyvien yksityisten tietojen hallittu käsittely on sinulle tärkeää, hyviä vaihtoehtoja hallitsemattoman tiedonkeruun estämiselle on olemassa. Apple iPhone -puhelin ei ollut mukana yliopistojen tutkimuksessa, joten sitä ei käsitellä tässä (iPhonen tiedetään lähettävän dataa), mutta /e/OS ja LineageOS ovat erinomaisia yksityisyydensuojan mahdollistavia ohjelmistoja Android-puhelimiin.

Etkö ole koskaan kuullut LineageOS tai /e/OS -ohjelmistoista? Organisaatio edellisen ja yritys jälkimmäisen takana ovat erikoistuneet yhteen asiaan: tekemään Android-käyttöjärjestelmästä sellaisen version, joka ei vuoda käyttäjien tietoja mainosmarkkinoille. Samalla kumpikin ohjelmisto on onnistunut säilyttämään yhteensopivuuden laajaan Android-sovellusvalikoimaan.

LineageOS:n kehittäjät ovat tehneet hyvää työtä, mutta eivät ole kokonaan päässeet eroon Androidin Google-komponenteista. Tämä tarkoittaa sitä, että käyttäjän tietoja livahtaa jonkin verran edelleen Googlen tietokantoihin, mutta ei mihinkään muualle. LineageOS-ohjelmisto on saatavilla ilmaiseksi. Se täytyy itse osata asentaa Android-puhelimeen nykyisen Android-ohjelmiston tilalle. Tämä ei valitettavasti onnistu kuin asiansa osaavalta asiantuntijalta.

/e/OS-käyttöjärjestelmän kehittäjät ovat onnistuneet loistavasti. He ovat saaneet salaisen tiedonkeruun katkaistua kokonaan puhelimen käyttäjärjestelmästä. /e/OS:n mukana ei tule yhtään Google-sovellusta, kuten Gmailia, Play Apps Storea, Chrome-selainta, tai Mapsia. Niiden sijaan puhelimessa on avoimen lähdekoodin vastaavat appsit, jotka eivät pölli käyttäjän henkilötietoja. /e/OS-ohjelmistolla varustetun puhelimen voi ostaa yrityksen verkkokaupasta (tässä oma arvioni yhdestä /e/OS-puhelimesta), tai asentaa itse Android-puhelimeen (mutta se on vaativa tehtävä).

Yliopistojen tutkimus siis havaitsi, että /e/OS ei vuoda yhtään dataa puhelimesta, mutta kun puhelimeen asentaa uusia sovelluksia, ne voivat tehdä mitä tahansa. Tätä varten /e/OS tarkastaa jokaisen uuden sovelluksen ja kertoo ennen asennusta mitä tietoja kukin app haluaa. Jokainen käyttäjä tekee siitä sitten omat johtopäätöksensä asentaako sovellusta vai ei (itse olen perunut muutaman sovelluksen asennuksen nähtyäni pitkän listan tiedoista mihin app haluaa päästä käsiksi, vaikka niillä ei ole mitään tekemistä sovelluksen toiminnan kanssa).

LineageOS ja /e/OS -tuotteita vastaavia muita ohjelmistoja on saatavilla, mutta niitä ei ollut mukana tutkimuksessa.

Tietosuojaltaan huonoimmat Android-puhelimet

Puhelinvalmistajat pärjäävät hyvin kun kilpaillaan siitä kuka pystyy pöllimään eniten käyttäjien tietoja. Kaikkia tämä ei miellytä, vaan he saattavat pitävät tällaisia puhelimia jopa arveluttavan huonoina tuotteina.

Samsungin, Xiaomin, Huawein ja Realmen (vain nämä valmistajat olivat mukana tutkimuksessa) Android-puhelimet keräävät ja lähettävät suuret määrät dataa sekä valmistajalle että muille osapuolille. Nämä muut tahot ovat usein yrityksiä, kuten Google, Microsoft, Heytap, Linkedin ja Facebook. Ne tekevät sopimuksen puhelimen valmistajan kanssa, joka takaa niille paikan puhelimessa kun se lähtee tehtaalta. Nämä sovellukset tarjoavat jotain toiminnallisuutta käyttäjille, mutta samalla ne keräävät henkilökohtaisia tietoja. Käyttäjä ei voi edes poistaa sovelluksia puhelimesta, eikä puhelimen asetuksia muuttamalla voi aina estää tiedonkeruuta.

Tutkijat ostivat puhelimet Euroopasta mikä todennäköisesti selittää sen, että puhelimet lähettivät dataa Euroopassa sijaitseville palvelimille. Samsung lähetti dataa myös Yhdysvaltoihin ja Xiaomi Singaporeen.

On erittäin todennäköistä, että muutkin kuin tutkimuksessa mukana olleet Android-puhelinten valmistajat keräävät käyttäjien tietoja. Vaikka eivät keräisi, Android-ohjelmiston alkuperäinen kehittäjä Google kerää taustalla jatkuvasti käyttödataa, aivan kuten myös sovellusohjelmien kehittäjät.

Mitä dataa tehtaalta tulevat Android-puhelimet keräävät?

Puhelimet keräävät niin paljon käyttäjiensä tietoja, että alla on listattu vain muutama yksittäinen asia.

  • IMEI (International Mobile Equipment Identity) tunniste, joka yksilöi jokaisen puhelimen.
  • Laitteelle tehtaan antama sarjanumero.
  • Wifi MAC -osoite, yksilöivä verkko-osoite.
  • Mitä sovelluksia puhelimessa on käytetty ja milloin, mitä sovelluksilla on tehty ja kuinka kauan.
  • Googlen yksilöivä mainostunnus.
  • Huawein puhelin lähetti näppäimistön painallukset Microsoftille.
  • Xiaomi ja Huawei lähettävät tekstiviestien metadatan, kuten milloin ja minne viestejä on lähetetty.
  • Samsung, Xiaomi, Realme, Huawei, Heytap ja Google keräävät tarkat tiedot puhelimeen asennetuista sovelluksista.

Kerrataan vielä se, että /e/OS ja LineageOS -ohjelmistolla toimivat puhelimet eivät siis kerää ja lähetä mihinkään yllä mainittuja tietoja.

Miten Trinity Collegen ja Edinburghin yliopiston tutkimus tehtiin?

Tutkijat reitittivät kaiken tietoliikenteen puhelimen ja internet välillä oman tietokoneensa kautta. Tässä tietokoneessa oli ohjelma, joka nauhoitti liikenteen, jonka jälkeen he pystyivät tutkimaan mitä dataa liikkui ja minne.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *