”Lopulta kyse on vain luottamuksesta” – Tiktokin, Facbookin ja Instagramin harjoittama käyttäjien seuranta ei yllätä asiantuntijoita

Selvitys paljasti Tiktokin, Facbookin ja Instagramin seuraavan klikkauksia myöten, mitä käyttäjä tekee niiden selaimissa. Tietoturva-asiantuntijat kehottavat sovellusten käyttäjiä varovaisuuteen, mutta eivät ole yllättyneitä.

Kiinalaisen Tiktok-videosovelluksen tietoturva on huolestuttanut aiemminkin.

26.8. 16:26

Viime viikolla uutisoitiin tutkimuksesta, jonka mukaan videosovellus Tiktok seuraa kaikkea käyttäjiensä näppäilyä sovelluksen sisäisessä selaimessa.

HS:n haastattelemia tietoturva-asiantuntijoita paljastus ei juuri hätkähdytä.

”Ei yllätä, eikä tässä tullut välttämättä esiin mitään uutta, mitä ei olisi tiedetty. Nyt käyttäjä muistaa kuitenkin taas kiinnittää aiempaa enemmän huomiota siihen, mitä sovellusten sisäisiin selaimiin näpyttelee”, tietoturva-asiantuntija Joni Hauhia kyberturvakonsultointiyhtiö Nixusta kertoo.

Kun Tiktok-videosovelluksessa avaa linkin sen omaan selaimeen, mukana tulee seurantakoodi, joka voi monitoroida kaikki käyttäjän sivustolla tekemät näppäilyt. Koodi pystyy lukemaan kaikki salasanat ja luottokorttitiedot sekä yksittäiset napautukset, kuten linkkien avaamiset. Kyse on siis eräänlaisesta näppäinnauhurista.

Myös Facebookin ja Instagramin on raportoitu seuraavan käyttäjän toimintoja sovelluksen sisäisissä selaimissa. Ne seuraavat jokaista käyttäjän tekemää klikkausta ja käyttäjän maalaamaa tekstiä. Niiden seurantaominaisuudet eivät ole kuitenkaan yhtä laajoja kuin Tiktokissa.

Lue lisää: Tiktok-sovelluksesta paljastui koodi, joka seuraa käyttäjän jokaista liikettä – Tietoturva-asiantuntija suosittelee poistamaan sovelluksen

Sovelluksen sisäinen selain aukeaa usein automaattisesti, kun käyttäjä avaa sovelluksessa joko mainoslinkin tai jonkin muun tahon lähettämään linkin. Linkki ei siis vie ulkoiseen selainsovellukseen kuten Google Chromeen, Safariin tai Mozilla Firefoxiin.

”Henkilökohtaisesti teen yleensä niin, että kopioin linkin URL-osoitteen ja menen sivustolle normaalilla selaimella. Sanoisin, että kannattaa käyttää ennemmin ulkoista selainta kuin sovelluksen omaa”, Hauhia sanoo.

Sovelluksen sisäistä selainta käytettäessä sovellus voi periaatteessa kerätä kaiken tiedon sen perusteella, mitä käyttäjä selaimessa tekee, koska toiminta on osa sovelluksen toimintaa.

Jos linkin kuitenkin avaa sovelluksen sisällä vain katselun vuoksi, riski ei Hauhian mukaan ole juurikaan suurempi kuin muussa sovelluksen käytössä.

Tavallisella sovelluksen ulkoisella selaimella yritykset voivat saada tietoa käyttäjän selaamista sivustoista vain evästeiden avulla. EU-lainsäädännön mukaan sosiaalisen median käyttämistä evästeistä voi kuitenkin kieltäytyä, jolloin alustat eivät voi seurata, mitä käyttäjä sivustoilla tekee.

Tiktok sekä Instagramin ja Facebookin omistava Meta ovat molemmat vakuutelleet, että ne eivät käytä selaimistaan keräämäänsä dataa käyttäjien seurantaan.

Kyberturvallisuus­keskuksen tietoturva-asiantuntija Max Mäkinen Liikenne- ja viestintävirasto Traficomista kertoo, että jokaisen käyttäjän on itse pohdittava, luottaako yritysten sanaan.

”Vaikka yritys sanoo, että liikenne on salattua tai että se ei seuraa saamiaan datoja, lopulta kyse on vain luottamuksesta siihen, toimiiko yritys sanojensa mukaisesti, jos kolmannen osapuolen auditointi puuttuu tai käyttäjä ei itse voi tarkistaa sanojen todenmukaisuutta.”

Talouslehti Forbesin haastattelussa Tiktokin edustaja kertoi, että sovellus kerää tietoja käyttäjien tekemisistä omassa selaimessaan parantaakseen käyttäjäkokemusta ja helpottaakseen vianetsintää.

Tietoturva-asiantuntijat eivät kuitenkaan täysin hyväksy selitystä.

”Se on aika mielenkiintoinen tapa selittää, miksi sovelluksen sisäistä selainta käytetään. Tuskin diagnostiikka on se syy, miksi sovelluksen sisäinen selain on rakennettu”, Hauhia sanoo.

Tiktokin kohdalla hän muistuttaa, että kyseessä on kiinalainen yhtiö, eikä eikä tietosuoja välttämättä toteudu maassa samalla tavalla kuin länsimaissa.

Lue lisää: Supo ja ulkomaiset tiedustelupalvelut varoittavat teknologiayrityksiä kiinalaisesta rahasta – HS Visio selvitti, missä kasvuyrityksissä on kiinalaisia osakkaina.

”Jos puhelimessa on kriittistä dataa, miettisin ehkä tarkemmin sovellusten asentamista.”

Pitäisikö Tiktok tai jopa Facebook ja Instagram sitten poistaa omasta puhelimesta tietoturvaongelmien vuoksi? Esimerkiksi Sitra on estänyt Tiktokin kaikkien työntekijöidensä työpuhelimilta tietosuoja-asiantuntijoiden lausuntojen vuoksi.

Hauhian mukaan näin jyrkkiä toimenpiteitä ei tarvita.

”En lähtisi välttämättä poistamaan. Jos puhelimessa on kriittistä dataa, miettisin ehkä tarkemmin sovellusten asentamista.”

”Kehotan kuitenkin pitämään mielessä, että missä tahansa sovelluksen sisäisessä selaimessa palveluntarjoajalla eli sovelluksen tekijällä on mahdollisuus seurata käyttäjänsä tekemisiä”, hän sanoo.

Kyberturvallisuuskeskuksen Mäkisen mukaan jokaisen pitäisi tarkastella puhelimeensa ladattujen sovellusten käyttöehtoja ja pohtia, haluaako todella jakaa kaikkia ehdoissa mainittuja tietoja.

”On käytännössä aina käyttäjän itsensä päätös, hyväksyykö hän sovelluksen ehdot vai etsiikö jonkun vaihtoehtoisen sovelluksen.”

Tiktokin käyttöehdoissa on esimerkiksi kohta, jossa mainitaan, että sovellus voi kerätä lähetettyjen kaksinkeskisten viestien sisältöjä. Ehdoissa mainitaan myös, että sovellus kerää ”teknisiä tietoja”, joihin kuuluu muun muassa ”näppäinpainallusten tapa ja tahti”.

Mäkinen ei kommentoi yksittäisten sovellusten tietoturvaa. Hän kuitenkin vinkkaa, että jos jonkin sovelluksen tietoturva huolestuttaa, sitä ei kannata pitää puhelimessa, jonka tietojen ei haluaisi leviävän.

Tehokas tapa rajoittaa seuraamista on hankkia niin sanottu burner-puhelin, jos käyttäjä pelkää jonkin sovelluksen seuraavan omia tietojaan.

”Se voi olla mikä tahansa puhelin, jossa käytetään vain tiettyä sovellusta, eikä siihen syötetä mitään henkilökohtaisia tietoja”, Mäkinen kertoo.