Kuinka turvallista mobiilisovelluksia on käyttää?

Älypuhelimet ja muut -laitteet ovat ja arkipäivää, ja yhä useampi lataa niille erilaisia sovelluksia eli äppejä. Toimiakseen sovellus vaatii yleensä pääsyä joihinkin puhelimen tietoihin. Mutta mitä kaikkia tietoja sovellus itse asiassa tarvitsee toimiakseen ja mikä on ylimääräistä? Voivatko tiedot levitä, ja miten niitä voidaan käyttää tarkoituksiin, joihin käyttäjä ei oikeastaan anna lupaa? Mitä vaaroja sovellusten lataamisessa ja käytössä voi olla?

Aalto yliopiston Tietotekniikan laitoksen professori Tuomas Aura on erikoistunut tietoturvallisuuteen ja yksityisyyden suojaan. Hän kertoo, että riippuu tietenkin sovelluksesta, mihin kaikkeen käyttäjä antaa luvan, kun lataa ja käyttää sovellusta.

– Sovellusten käytön turvallisuus vaihtelee. Kuvankäsittelysovelluksia asentaessaan käyttäjän täytyy antaa sovellukselle ainakin lupa lukea laitteella olevia valokuvia ja käyttää kameraa. Useimmat sovellukset vaativat tarpeettomiakin oikeuksia kuten pääsyn käyttäjätietoihin, paikkatietoon tai osoitekirjaan, kertoo Aura.

Suuressa suosiossa ovat muun muassa erilaiset kuvanmuokkaussovellukset, joissa omaan kuvaan saa lisättyä hauskoja yksityiskohtia. Kuvankäsittelysovelluksia on lukemattomia erilaisia. Suosittuja ovat esimerkiksi Faceapp ja Meitu. Niidenkin käytön turvallisuudessa on eroja.

– FaceApp näyttäisi tällä hetkellä tyytyvän pelkkiin kuviin, kun taas esimerkiksi Meitu haluaa selvästi enemmän tietoa laitteesta ja käyttäjästä. Oikeuksista ei kuitenkaan voi päätellä, lähettääkö sovellus tietoja jonnekin, tai mihin niitä käytetään. Sitä käyttäjä ei oikeastaan voi tietää mistään. Esimerkiksi osoitekirjan kopioiminen nettiin tapahtuu hetkessä ja huomaamatta, kertoo Aura.

Jos sovellus kerran poimii älylaitteesta henkilötietoja, niin miksi ne niin tekevät. Mihin tiedot voivat päätyä, ja miten niitä voidaan käyttää?

– Henkilötietoja käytetään ensisijaisesti sovellusten kehittämiseen, mainosten kohdentamiseen ja mainostilan myyntiin. Sovelluskehittäjä haluaa tietää, kuka sovellusta käyttää ja missä. Mainostaja haluaa tietää, mistä maksaa. Tiedolla myös käydään kauppaa. On todennäköistä, että sovellusten keräämät henkilötiedot yhdistetään nettiselailusta ja -ostoksista kerättyyn tietoon. Tämä tieto kertyy kymmenille kansainvälisille tietokauppiaille, jotka toimivat laillisuuden rajoilla eivätkä ainakaan noudata eurooppalaista tietotuojalainsäädäntöä. Aika näyttää, mihin kaikkeen kertyvää tietoa käytetään, summaa Tuomas Aura Aalto yliopistolta.

Järkevää sovellusten käyttöä

Sovellusten suosiosta ja paljoudesta huolimatta ihmisten tietoturvallisuustietous vaikuttaisi olevan vielä kovin vähäistä. Harva kiinnittää sen suuremmin huomiota sovellusta ladatessaan. Hinta usein kyllä kiinnostaa, mutta jos sovellus on ilmainen, latauspäätös voi syntyä hetkessä. Mitä käyttäjän pitäisi ottaa huomioon, jotta käyttäisi mobiilisovelluksia mahdollisimman turvallisesti?

– Käyttäjän on hyvin vaikea suojella sähköisessä muodossa olevia tietojaan, jos haluaa kokeilla uutta teknologiaa ja ottaa siitä hyödyn ja ilon irti. Huolellinen henkilö saattaisi erimerkiksi pitää työsähköpostin ja osoitekirjan eri laitteessa kuin hupisovellukset. Käytännössä tällainen elämän eri osa-alueiden erottelu on vaikeaa yhteiskunnassa, jossa työ ja vapaa-aika sekoittuvat. Jokaisen pitäisi miettiä, mitä vahinkoa aiheutuu erilaisten työhön liittyvien tietojen vuotamisesta nettirikollisille. Erityisen arkaluontoinen tieto pitää sitten käsitellä laitteilla, joihin ei asenneta sekalaisia sovelluksia, kertoo Aura.
Vaikuttaisi siis siltä, että käyttäjän on todella vaikea kontrolloida sovellusten käytön turvallisuutta. Onko mitään, mikä auttaisi arvioimaan jo ennalta, kannattaako jotain sovellusta ladata ja käyttää? Onko toisaalta harhakäsityksiä siitä, mitä ei kannattaisi ladata?

– Android-sovelluskaupassa voi tarkistaa, mitä oikeuksia sovellus haluaa. Jos sovellus pyytää tarpeettomalta tuntuvia oikeuksia, sitä ei ehkä kannata asentaa. Jo asennetuilta sovelluksilta on myös mahdollista poistaa tarpeettomia oikeuksia. Lisäksi voi välttää sellaisten sovellusten asentamista, joiden ansaintamallia ei ymmärrä. Toisin kuin usein ajatellaan, suuret markkinoita hallitsevat yritykset ovat verrattain läpinäkyviä ja noudattavat lakeja, kun taas tuntematon sovelluskehittäjä saattaa haluta muuttaa ainoan hittinsä rahaksi keinolla millä hyvänsä. Erityisesti kannattaa välttää hittisovellusten kopioita, muistuttaa Aura.

Väärinkäytöksiä jo nähtävissä

Sovellusten kautta vuotavia tietoja voidaan pahimmillaan käyttää todella vaarallisestikin. Millaisia esimerkkejä on maailmalta, että sovelluksen kautta tietoja on käytetty väärin tai ne ovat päätyneet vääriin käsiin?

– Tunnetut väärinkäytökset liittyvät yleensä yksittäisten henkilöiden tai organisaatioiden vakoiluun. Tällöin esimerkiksi perheenjäsen tai vakoiluorganisaatio on ujuttanut vakoiluohjelman kohteen mobiililaitteelle. Totalitaarisissa maissa, viimeksi Turkissa, sovellusten tietoja on käytetty ihmisten välisten verkostojen selvittämiseen ja poliittisen vainon välineenä. Käyttäjätietojen massiivinen kauppa hakee vielä rikollisia sovelluksia, mutta kun joku keksii keinon tehdä tiedolla rahaa, meistä kaikista tulee uhreja. Rahan kiristämistä noloilla kuvilla ja muilla varastetuilla tiedoilla on pitkään odotettu, ja viime aikoina siitä on näkynyt uutisia, kertoo Tuomas Aura.

Teksti: Heli Yli-Räisänen

Kirjoitus on julkaistu lehdessä 2/2017.

Avaa koko lehti (pdf)