Kategoria(t): Ohjelmisto, Tietoturva

Tutkimus: puhelinsovellukset ryöstävät surutta henkilökohtaisia tietoja

Puhelinten ilmaisissa sovelluksissa on monenlaista tarjontaa hyödyttömistä, vaarallisista ohjelmista hyödyllisiin kartta- ja terveysovelluksiin. Koska ilmaistenkin sovellusten on jostain rahaa tahkottava niin kaksi tapaa on ylitse muiden: mainokset ja käyttäjien henkilökohtaisten tietojen keruu. Oxfordin yliopisto Englannissa tutki nimenomaan ilmaisten sovellusten (ei käyttöjärjestelmien) mahdollista tiedonkeruuta. Tulokset olivat yksityisyydensuojan kannalta painajaismaisia.

Ladatessaan ilmaista sovellusta puhelimeen käyttäjä voi olettaa sen yrittävän kerätä henkilökohtaisia ja käyttäytymistä koskevia tietoja, sillä niin paljon tiedonkeruuominaisuuksia tutkimus sovelluksista löysi.

  • 87,3% tutkituista ilmaisista Android-sovelluksista oli valmius lähettää käyttäjän tietoja Googlen tietokantoihin.
  • 69,6% Apple iPhone -sovelluksista halusi lähettää käyttäjän tietoja Applelle.
  • Näiden kahden suurimman tiedonkerääjän lisäksi sovelluksissa usein on Facebookin ja verkkomainontaan erikoistuneiden yritysten tiedonkeruutoimintoja.

Oxfordin tutkijoita kiinnosti erityisesti väite Apple iPhone -puhelinten paremmasta tietoturvasta ja yksityisyydensuojasta (tutkimus kumoaa tämän väitteen), mutta tulokset antavat hyvän tuntuman miten ilmaisten sovellusten tietosuoja todellisuudessa toimii niin Android kuin iPhone -puhelimissa.

Tutkijat valitsivat 24000 puhelinsovellusta testattavaksi, joista 12000 oli tehty Android-puhelimiin ja sama määrä 12000 iPhone-puhelimiin. Näin laajan aineiston analysointiin he tekivät testiohjelmia kolmeen tarkoitukseen:

  • Ohjelmakoodin analysointiin, jolla kaivettiin koodin seasta lupapyynnöt tehdä käyttäjän puhelimessa jotakin luvanvaraista, kuten hyödyntää paikannustietoa, ja etsittiin tunnettuja tiedonkeruuseen tarkoitettuja aliohjelmia.
  • Verkkoliikenteen analysointiin, josta nähtiin mitä tietoa ja minne puhelinsovellus tosiasiassa lähettää.
  • Selvitettiin yritykset puhelinsovellusten takana, niiden yhteydet mainos- ja profilointiyrityksiin ja yrityksen kotipaikat (tietosuojalainsäädäntö on hyvin erilainen esimerkiksi Yhdysvalloissa kuin Euroopassa).

Oxfordin yliopiston tutkijat kiteyttävät tiiviissä raportissaan löytäneensä laajaa EU:n, Britannian ja Yhdysvaltojen tietosuojalakien todennäköistä rikkomista. Löydökset voi luokitella viiteen tärkeään kohtaan:

  • Käyttäjien tietoja kerätään ilman suostumusta.
  • Lasten sovellukset keräsivät lasten tietoja ilman vanhempien suostumusta.
  • Tiedonkeruuseen tarkoitettujen alimoduleiden konfigurointi siten, että ne haalivat mahdollisimman paljon tietoa.
  • Henkilökohtaisten tietojen lähettäminen maihin, joissa ei ole riittävää tietosuojaa.
  • Tiedonkeruun salailu: läpinäkyvyys tekemisistä puuttuu.

Tutkimus ei todennut Android tai iPhone-käyttöjärjestelmää tai niiden sovelluksia toista paremmaksi, ja tässähän tutkittiin nimenomaan sovellusten tiedonkeruuta, ei käyttöjärjestelmiä.

oxford university: phone app privacy
Oxfordin yliopisto: yleisimmät sovellusten lupapyynnöt.

Puhelimet kysyvät käyttäjiltä lupaa esimerkiksi GPS-paikantimen tai mikrofonin käyttöön sovelluksissa. Kaksi selkeästi yleisintä pyyntöä ovat kameran ja GPS:n käyttö sovelluksessa. Seuraavaksi eniten pyydetään mikrofonia ja kalenteria. Tämä on puhelimen omistajalle tärkeä paikka pohtia miksi sovellus juuri tätä tarvitsee. Muistan jonkin aikaa sitten herätyskellosovellusta etsiessäni löytäneeni hienon herätyskellon, mutta se halusi pääsyn puhelimeni kontakteihin ja GPS-paikantimeen. Jäi lataamatta.

Yksi valitettavan yleinen tapa millä sovellukset kiertävät tai rikkovat lakia on lähettää henkilötietoja tiedonkerääjille heti kun sovellusohjelma avataan, ja vasta sen jälkeen kysyä käyttäjältä suostumusta. 81.44% tietoja keränneistä Android sovelluksista syyllistyi tähän, 68.46% iPhone iOS -sovelluksista teki saman rikkeen.

Mihin puhelinten omistajien tiedot viedään? Peräti 93,3% tietoja keränneistä Android-sovelluksista ja 83,5% iPhone-ohjelmista lähetti tiedot Yhdysvaltoihin. Kiinaan laittoi käyttäjien tietoja talteen vain 9,5% (iPhone) ja 4,8% (Android).

Yrityksistä suurimmat tiedonkerääjät ovat tuttuja nimiä: Alphabet (Google), Apple ja Facebook ovat selkeästi ahneimmat käyttäjien tietoja kahmivat yritykset.

oxford university: phone app privacy research
Oxfordin yliopisto: puhelimista tietoja kerääviä yrityksiä (kuvan keskellä) ja oikealla maita missä yritykset ovat. Lähes kaikki yritykset ovat Yhdyvalloissa, joitakin yrityksiä on Kiinassa, Intiassa, Saksassa ja Venäjällä.

Tutkimus tehtiin sovelluksilla, jotka oli julkaistu tai viimeksi päivitetty vuosien 2018-2020 aikana.

Mitä tavallinen puhelimen omistaja voi tehdä estääkseen yksityisten tietojen pöllimisen?

Yksityisten tietojen varastelun estäminen vaatii hieman vaivaa, mutta jo pienetkin askeleet voivat tukkia suuria vuotoja. Tässä askeleita järjestyksessä helpoimmasta eniten vaivaa vaativiin tehtäviin.

  1. Kun olet löytänyt Google Play Store tai Apple App Store -kaupasta sovelluksen, jonka haluat ladata, niin katso ensin mitä oikeuksia se haluaa (esimerkiksi sijainti, kontaktit, kalenteri) ja mitä toimintoja se aikoo käyttää. Jollei näillä ole yhteyttä sovelluksen toiminnallisuuteen, etsi vielä kerran kaupasta jos löytyisi paremmin käyttäytyvä app.
  2. Loppujen lopuksi harva verkkopalvelu ehdottomasti vaatii lataamaan sovelluksen puhelimeen. Usein palvelut antavat ymmärtää, että sovellus on pakollinen (tietojen keruun vuoksi) mutta todellisuudessa palvelua voi käyttää myös verkkoselaimella. Selainohjelman käytön hyvä puoli on siinä, että selaimen asetuksia säätämällä voi hyvinkin tarkkaan määrätä mitä tietoa tietokoneesta tai puhelimesta ulos lähtee.
  3. Vaikka sovellusten tiedonkeruun minimoi tai estää kokonaan, jäljelle jää puhelimen käyttöjärjestelmän jatkuva tiedotustoiminta pääkonttorille (Android: Google ja iPhone: Apple) käyttäjänsä elämästä. Tästä syystä jotkut vaihtavat puhelimeensa käyttöjärjestelmän, josta on riisuttu kaikki näiden yhtiöiden ohjelmistot. Silloin kyseessä on avoimen lähdekoodin Android (AOSP), jossa Googlen ohjelmistot korvataan avoimen lähdekoodin ohjelmilla. Tällaisia käyttöjärjestelmiä ovat esimerkiksi eOS, CalyxOS, LineageOS ja GrapheneOS. Kaikissa näissä toimivat samat Android-sovellukset kuin normaaleissa Android-puhelimissa.

Leave a Reply

Your email address will not be published.


CAPTCHA Image