Teknologia

Helsingissä toimintansa aloittanut venäläinen taksi­palvelu voi saada kuvasi ja tietoja SIM-kortistasi

Venäläisen nettijätti Yandexin mobiilisovelluksella toimiva taksipalvelu Yango aloitti toimintansa Helsingissä. Liettuassa kyberturvallisuuskeskus kehotti välttämään sovellusta kokonaan, Virossa valtionhallinnon työntekijöitä on neuvottu olemaan lataamatta sitä työpuhelimiinsa. HS:n pyynnöstä sovellusta tutkineet tietoturvaosaajat löysivät useita erikoisia käyttöoikeuspyyntöjä.

Venäläisen internet-yhtiö Yandexin taksipalvelu Yango aloitti Helsingissä perjantaina.

Aluksi kolmen auton voimin aloittava Yango suunnittelee laajentavansa myöhemmin Turkuun ja Tampereelle, mikäli toiminta osoittautuu kannattavaksi. Yhtiö toimii Uberin tapaan ja käyttää paikallisia kuljettajia ja taksiyrityksiä.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Taksiyhtiö toimii jo useissa maissa. Kesäkuussa se aloitti toimintansa Virossa.

Jo tuolloin Virossa huhuttiin, että sovellus keräisi käyttäjistään paljon enemmän tietoa kuin taksin tilaamiseksi on välttämätöntä. Neljä virolaista ministeriötä kertoi lokakuussa teknologiajulkaisu Geeniukselle, että niiden työntekijöitä on kielletty lataamasta palvelun sovellusta työpuhelimiinsa.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Heinäkuun lopulla Liettuan kyberturvallisuuskeskus varoitti liettualaisia samasta asiasta ja kertoi, että sovellus on jatkuvasti yhteydessä yhteentoista verkko-osoitteeseen, joista suurin osa on Venäjällä.

”Suositamme vakavasti, etteivät ihmiset asentaisi tätä sovellusta, varsinkaan ne ihmiset jotka työskentelevät valtion virastoissa”, Liettuan kyberturvallisuuskeskuksen johtaja Rytis Rainus sanoi uutistoimisto AP:lle.

Tuolloin Yandexin strategiajohtaja Aram Sargsyan kommentoi, että yhtiö on sitoutunut tiukasti noudattamaan EU:n tietosuoja-asetusta.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Tavallisen käyttäjän on vaikea saada selkoa Yandexin tietosuojaehdoista.

Taksipalvelujen pääkonttori sijaitsee Alankomaiden Amsterdamissa. Nyt Yandex kertoo sovelluksensa tietosuojaehdoissa, että suomalaisten, ETA-maiden ja Sveitsin kansalaisten dataa käsittelee Suomen lakien mukaisesti Mäntsälään rekisteröity Yandex oy. Mäntsälässä sijaitsee Yandexin palvelinkeskus, jonka nettijätti perusti vuonna 2015.

Keskustelua eri sovellusten keräämästä datasta ja tietosuojaehdoista on käyty kuluvana vuonna paljon.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Varsinkin Facebook on ollut keskellä myrskyä toistuvasti. Esimerkiksi alkuvuonna paljastui, että Cambridge Analytica -yritys käytti Facebookilta haalittua dataa ilmeisesti sekä Britannian EU-eroon liittyvän äänestyksen kampanjoinnissa että Yhdysvaltojen presidentinvaaleissa.

Toukokuussa EU:ssa astui voimaan uusi tietosuoja-asetus, mikä lisäsi entisestään keskustelua aiheen ympärillä. Miksi siis juuri Yandexin taksisovelluksen datankeruu herättää näin voimakkaita reaktioita?
Mainos (Teksti jatkuu alla)
Mainos päättyy

Vastaus liittyy yhtiön alkuperään. Yandex on venäläinen. Venäjä on vuosien varrella paitsi kunnostautunut verkkovakoilussa, myös korostanut omassa lainsäädännössään kansallisia päämääriään ihmisten tietojen omistamisessa.

Tietosuojan kannalta Venäjä ei ole demokratia, ja Yandex on toistuvasti antanut Venäjän sisäisen turvallisuuden virasto FSB:lle pääsyn asiakkaidensa tietoihin ilman varsinaista rikosepäilyä. Asiasta ovat kertoneet muun muassa talouslehti Forbes vuonna 2017 ja Britannian yleisradioyhtiö BBC vuonna 2011.

Vika ei ole varsinaisesti Yandexin. Kyse on Venäjän lainsäädännöstä.

Mutta miltä Yandexin taksisovellus näyttää?

Yango-sovelluksen linkki yksityisyydensuojasta vie Yandex Taxin englanninkielisiin tietosuojaehtoihin. Niissä kerrotaan, että yhtiö jakaa käyttäjän tietoja yhteistyökumppaneilleen.

Suomenkielinen tietosuojailmoitus on päivätty toukokuulle. Se on ilmeinen konekäännös ja sisältää paljon kirjoitusvirheitä. Suomenkielisissä tietosuojailmoituksessa ja yleisissä käyttäjäehdoissa yhtiö kertoo, kuten englanninkielisissäkin, että mikäli ristiriitaa venäjänkielisen version kanssa ilmenisi, vain venäjänkielinen versio pätee.

Venäjä ja Venäjän lainsäädäntö pätee palveluihin käyttäjäehtojen perusteella muutenkin. Käyttäjäehtojen kohdassa kymmenen kerrotaan alkuperäisessä kieliasussaan seuraavaa:

Tätä sopimusta sovelletaan ja tulkitaan Venäjän lainsäädännön mukaisesti. Tällä Sopimuksella säädättömät kysymykset ratkaistaan Venäjän lainsäädännön mukaisesti. Tämän Sopimuksen suhteista kaikki johtuvat mahdolliset erimielisyydet ratkaistaan Venäjän Federaation lainsäädännön ja normien mukaan. Kaikkialla tämän Sopimuksen tekstissä, ellei muuta ilmoiteta, termi "laki" tarkoittaa Venäjän Federaation lainsäädäntöä sekä Käyttäjän oleskelupaikan säädäntöä.

Yandexin taksipalvelu on verkkosivuillaan listannut englanniksi, mitä tietoja se lähettää käyttäjistään eteenpäin. Niihin kuuluvat muun muassa sovellukselle annetut äänikomennot, puhelinnumero, sähköposti ja käyttäjän mobiililaitteen yksilöivät tiedot.

Lista on vajaa, kun sitä vertaa sovelluksen haluamiin käyttöoikeuksiin.

HS:n pyynnöstä kaksi eri tietoturvaosaajaa tutustui lähemmin Yandexin taksisovellusten kahteen, Android-puhelimissa käytettävään versioon. Kumpikaan heistä ei halunnut nimiään julki työnantajiensa ja tietoturvatestaamiseen liittyvien ennakkoluulojen vuoksi. Toinen työskentelee tietoturvan parissa ammatikseen, toinen it-alalla ja harrastaa tietoturva-asioita vapaa-ajallaan.

Heistä toisen mukaan muualla maailmassa käytössä oleva Yandex.taxi- ja Suomessa käytössä oleva Yango-sovellus ovat samanlaiset. Sinänsä ne toimivat kuten pitääkin, eikä esimerkiksi paikannustietojen keräämisessä ole mitään tavatonta. Paikantamisella kyyti ja asiakas löytävät toisensa paljon ketterämmin kuin osoitteita sanelemalla.

Molempien mielestä taksisovellus haalii käyttäjältään kuitenkin enemmän tietoja kuin toiminnan kannalta on välttämätöntä. Lisäksi palvelun käyttäjälle kerrotut tiedot sovelluksen käyttöoikeuksista eroavat sovelluksen suomen- vai englanninkielisissä versioissa. Suomenkielisessä Yango-versiossa ei esimerkiksi mainita, että sovellus haluaa käyttää yhteystietoja löytääkseen laitteelta tilejä, mutta englanninkielisessä versiossa se kerrotaan.

Selvitykseen käytettiin esimerkiksi MobSF-testiohjelmistoa. Selvitys tehtiin torstai-iltana 8. marraskuuta 2018. Sen mukaan taksisovellus yrittää saada käyttäjältä pääsyn ja käyttöoikeuden ainakin seuraaviin tietoihin:

Kamera ja kuvat. Kun sovellukselle antaa luvan käyttää kuvakansiota, se pääsee käsiksi myös muihin käyttäjän kuviin samassa kansiossa. Antamalla käyttöoikeuden kameraan sovellus saa valokuvata.

Tekstiviestit. Sovellukselle pitää antaa lupa lähettää ja vastaanottaa tekstiviestejä. Näin sovellus voi päästä käsiksi myös käyttäjän muuhun tekstiviestiliikenteeseen. Sovellus voi lähettää, vastaanottaa ja poistaa tekstiviestejä ilman että käyttäjä huomaa mitään.

Tietoja wifi-verkoista. Sovellus edellyttää myös luvan kytkeä puhelin havaitsemiinsa langattomiin verkkoihin. Toiminto saattaa liittyä paikantamiseen kuten sovelluksen vaatimat GPS-satelliittipaikannustiedotkin. On kuitenkin erittäin haitallista, mikäli sovellus saa kytkeä puhelimen langattomiin verkkoihin omin päin. Tällä tavoin puhelin voi kytkeytyä verkkoon, jonka kautta siihen saatetaan esimerkiksi syöttää haittaohjelma.

Mikrofoni. Sovellus edellyttää myös käyttöoikeuden puhelimen mikrofoniin. Antamalla sovellukselle täydet oikeudet käyttää mikrofonia milloin vain on teoriassa mahdollista salakuunnella puhelimen omistajaa.

Tiedot SIM-kortista. Sovellus hakee tietoonsa tiedot puhelimen käyttäjän käyttämästä puhelinoperaattorista, mutta myös puhelimen yksilöllisen IMEI-koodin. IMEI eli International Mobile Equipment Identity mahdollistaa laitteen tunnistamisen ja on tavallisesti käyttäjälle hyödyllinen silloin, kun liittymä pitää sulkea esimerkiksi jos puhelin on varastettu. Se, mihin taksisovellus tarvitsee tällaista tietoa, ei ole tiedossa.

Viestintäviraston kyberturvallisuuskeskuksesta kerrotaan HS:lle, että uudesta palvelusta ollaan tietoisia.

”Olemme selvillä Liettuan kyberturvallisuuskeskuksen antamasta suosituksesta, mutta emme ole tarkemmin sovellukseen tutustuneet”, kertoo Kyberturvallisuuskeskuksen erityisasiantuntija Tomi Kinnari.

Kinnari korostaa, etteivät he ole tutustuneet työnsä puolesta muihinkaan taksisovelluksiin, kuten yhdysvaltalaiseen Uberiin. Monet Uberin haluamista käyttöoikeuksista ovat samoja kuin Yandexin taksilla, ja nämä kaksi ovatkin kansainvälisiä yhteistyökumppaneita.

”Useat sovellukset pyytävät käyttäjiltään erilaisia käyttöoikeuksia. Kannattaa miettiä, ovatko ne sovelluksen toiminnan kannalta välttämättömiä”, Kinnari sanoo.

”Joskus käyttöoikeuksia pyydetään turhan laajasti, ja sovellus voi toimia riittävän hyvin, vaikka joitain oikeuksia ei sille antaisikaan.”

Yleisenä ohjeena Kinnari sanoo, että sovelluksen vaatimat oikeudet kannattaa aina tarkistaa. Ainakin uusimmissa käyttöjärjestelmissä sovelluksen käyttöoikeuksia voi rajata sovelluskohtaisesti.

”Itse yritän pitää sovelluksille annetut oikeudet minimissä.”

    Seuraa uutisia tästä aiheesta

  • Teknologia
  • Taksit
  • Mobiilisovellus
  • Tietoturva
  • Laura Halminen

Kommentit

    Ei vielä kommentteja. Kirjoita ensimmäinen.

    Näytä lisää
    Luetuimmat
    • Juuri nyt
    • Päivä
    • Viikko
    1. 1

      Poikkeuksellinen poliisi­tiedote: Itä-Uudenmaan poliisi nappasi kauppa­keskus Jumbosta keski-ikäisen tillin­haistelijan

    2. 2

      Tanskalainen ja norjalainen nainen löytyivät kuolleena syrjäisestä vuoristosta Marokossa – ruumiissa väkivallan merkkejä

    3. 3

      Aktivisti­sijoittajan huhutaan astuvan Björn Wahlroosin varpaille – Onko Nordeassa edessä titaanien taisto?

    4. 4

      Yksi tiedostamaton viestimme muuttaa keskustelu­kumppanin vähäpuheiseksi ja kertoo, olemmeko oikeita ihmisiä

    5. 5

      Helsinki-Vantaalla sekavasti lauantaina käyttäytynyt mies uhkasi rajavartijoiden perheitä ”poloniumin 210-isotoopilla”

    6. 6

      Onko kynttilöiden poltto jopa yhtä haitallista kuin passiivinen tupakointi? Selvitimme

    7. 7

      Kodin murtosuojaa myyvien yritysten mainoskikka ärsyttää monia – ”Varkaathan näkevät postilaatikko­rivistä, mihin taloihin kannattaa mennä”

    8. 8

      NBA-seuran omistajan väitetään uhanneen siirtää joukkueensa toiseen kaupunkiin, jos halliremonttiin ei löydy rahaa – sitten 90-vuotias mummo sanoi suorat sanat

    9. 9

      ”Entä jos Sale twiittailisi kuin Trump?” – sometili laittaa Trumpin sanat Sauli Niinistön suuhun, tehden USA:n presidentin öykkäröinnistä näkyvämpää

    10. 10

      Moni syö itsensä väsyksiin, ja vireys voi hävitä tunneiksi – näillä ravinto-ohjeilla vältät ilta­päivän uupumuksen

      Tilaajille
    11. Näytä lisää
    1. 1

      17-vuotiaana Sini Pyy käytännössä katkesi vyötärön kohdalta – nyt hän kehittää yliopisto­ihmisten kanssa sopivaa hiihtokelkkaa paralympialaisia varten

    2. 2

      Jos kävelen autiolla kadulla naisen perässä, en missään nimessä ota juoksu­askelia, vaikka olisi kiire

    3. 3

      Kodin murtosuojaa myyvien yritysten mainoskikka ärsyttää monia – ”Varkaathan näkevät postilaatikko­rivistä, mihin taloihin kannattaa mennä”

    4. 4

      Moni syö itsensä väsyksiin, ja vireys voi hävitä tunneiksi – näillä ravinto-ohjeilla vältät ilta­päivän uupumuksen

      Tilaajille
    5. 5

      Lääkäri Antti Heikkilän uutuus­kirja vilisee virheitä – HS pyysi asian­tuntijoita arvioimaan tekstin: ”Tällaiset väitteet voivat johtaa kuoleman­tapauksiin”, professori sanoo

      Tilaajille
    6. 6

      Poikkeuksellinen poliisi­tiedote: Itä-Uudenmaan poliisi nappasi kauppa­keskus Jumbosta keski-ikäisen tillin­haistelijan

    7. 7

      Kauppakeskushanke ajautui vaikeuksiin Vantaalla: ”Joudumme miettimään eri vaihtoehtoja”

    8. 8

      Pankkiiriliike ei korvaa 14 400 euron virheitään eläkeläiselle, mutta Finanssiala ja valvoja uskovat yhä itsesääntelyyn – ”Valitettava yksittäistapaus”

    9. 9

      ”Entä jos Sale twiittailisi kuin Trump?” – sometili laittaa Trumpin sanat Sauli Niinistön suuhun, tehden USA:n presidentin öykkäröinnistä näkyvämpää

    10. 10

      Yksi tiedostamaton viestimme muuttaa keskustelu­kumppanin vähäpuheiseksi ja kertoo, olemmeko oikeita ihmisiä

    11. Näytä lisää
    1. 1

      Suomesta on tullut myrkkyä – Venäjällä tunnetaan syvää tyytymättömyyttä suomalaisia kohtaan

    2. 2

      Suurta osaa naisista koskevaa terveysongelmaa ei ole tutkittu, vaikka se haittaa elämänlaatua merkittävästi – Professori: ”Pidetty liian banaalina ongelmana”

    3. 3

      Lääkäri Antti Heikkilän uutuus­kirja vilisee virheitä – HS pyysi asian­tuntijoita arvioimaan tekstin: ”Tällaiset väitteet voivat johtaa kuoleman­tapauksiin”, professori sanoo

      Tilaajille
    4. 4

      Kansallisbaletin Tuhkimon ylipainoiseksi puettu hahmo loukkasi Ani Kellomäkeä niin, että hän lähti esityksestä pois: ”En halunnut osallistua yhteiseen kiusaamishetkeen”

    5. 5

      Kun 35-vuotias nainen haluaa lapsen, mutta ei kelpuuta mukavaa miestä, naisen täytyy olla sekaisin

    6. 6

      Laura Huhtasaari kirjoitteli blogiinsa väitteitä islamista, sai kirjoituskiellon, samalla perussuomalaisnaiset kampanjoivat suut teipattuna – tästä kaikessa on kyse

    7. 7

      Tältä näyttävät joulun uudet herkut – kokeile suosikkiasi tämän vuoden joulupöydässä, ja muista myös rakkaat klassikkoreseptit

    8. 8

      Merten roskapyörteiden kunnian­himoinen puhdistus­operaatio vastatuulessa – teinin keksinnöstä löytyi kohtalokas vika

    9. 9

      Pekka Haaviston lausunto perus­suomalaisista oli viisautta, jota vihreät eivät kestä kuulla

    10. 10

      Kokenut maailman­matkaaja vinkkaa kymmenen ainut­laatuista matka­elämystä – mukana myös suomalainen, unohdettu helmi

    11. Näytä lisää