Teknologia

Taksi Helsinki haluaa oikeuden käyttäjänsä kalenteriin ja lähettää sähköpostia – HS vertaili eri taksisovellusten tietoturvaa, tämä kannattaa tietää ennen kuin annat sovelluksille luvan

Mobiilisovellukset haalivat käyttäjistään välillä tarpeettoman paljon tietoja. Huoli heräsi, kun venäläinen Yandex toi halpataksinsa Suomeen. Tietoturva-asiantuntija listasi, millaisia käyttöoikeuksia eri yhtiöt haluavat.

Pikkujoulukausi lähestyy ja taksisovellusten käyttöaste kasvaa. Tietoturva-asiantuntija vertaili, mitä taksisovellusta kannattaa käyttää jos ei halua ikäviä yllätyksiä.

Marraskuussa Helsingissä aloitti uusi venäläinen taksiyhtiö Yandex. Kyseessä on kännykkäsovelluksella tilattava taksipalvelu, joka toimii samaan tapaan kuin yhdysvaltalainen Uber tai virolainen Taxify, jotka ovat rantautuneet Suomeen jo aiemmin.

Pian lanseerauksen jälkeen HS ja useat muut mediat kertoivat, että Yandexin mobiilisovellus Yango pyytää häiritsevän paljon käyttöoikeuksia. Tämän lisäksi se lähettää dataa Venäjälle.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Ylimääräisten käyttöoikeuksien haaliminen on perin tavallista, ja sitä tekevät muutkin kuin Yango, sanoo Erkki Mustonen.

Mustonen on työskennellyt tietoturvan parissa yli 25 vuotta. Viimeisimmät 18 vuotta vuoden alkuun saakka hän oli F-Securen palveluksessa perehtyen muun muassa mobiilimaailman tietoturvaan.

Mustonen kävi läpi Suomessa käytössä olevien yleisten taksisovellusten pyytämät käyttöoikeudet Google Playn sovelluskaupasta ja taulukoi ne. Taulukkoon pääset tutustumaan jutussa alempana.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Taulukon tiedot perustuvat siihen, mitä sovellukset itse sovelluskaupassa ilmoittavat, eikä suurinta osaa sovelluksista ole testattu. Verrattuja sovelluksia on yhteensä 22 kappaletta.

Käyttöoikeuksien haalimisessa sovelluksen käyttäjältä amerikkalainen Uber vetää pohjat. Tietosuojaystävällisimmäksi selviytyy Taksi Tampere: sovellus on erittäin riisuttu, mutta se toimii tyydyttävästi.

”Voi että, se on puhdas”, sanoo Erkki Mustonen.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Yllätyksiäkin löytyi.

Esimerkiksi Taksi Helsingin sovellukset Taksi Helsinki ja 0100 0700 haluavat käyttöoikeuden käyttäjän kalenteriin. Tämä sisältää mahdollisuuden tehdä kalenterimerkintöjä ja lähettää vieraille sähköpostia kalenterin omistajan tietämättä, kertoo Mustonen.

Taksi Helsingin mukaan ominaisuus johtuu siitä, että sovellus voi tehdä asiakkaalle kalenterimuistutuksen taksin ennakkotilauksesta. Yhtiö korostaa, ettei se voi vaikuttaa sovelluskaupassa kerrottuun käyttölupapyynnön kirjoitusasuun. Sähköpostia ei kuitenkaan lähetetä, yhtiö kommentoi viestipalvelu Twitterissä.
Mainos (Teksti jatkuu alla)
Mainos päättyy

”Uberin sovellus pyytää pääsyä kalenteriin myös. Se haluaa lukea kalenterimerkintöjä, ja sovelluksen käyttöehdoissa mainitaan erikseen että tämä ominaisuus koskee myös luottamuksellista tietoa”, Mustonen sanoo.

”Tästä herää kysymys, miten laissa määritelty viestintäsalaisuus suhteutuu toisten kalenterien lukemiseen. Miten tällainen toiminnallisuus liittyy taksisovelluksen toimintaan siten, että käyttäjä voisi hyötyä siitä”, Mustonen kysyy.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Toki useat sovellukset pyytävät myös laadun ja toiminnallisuuden kannalta järkeviä käyttöoikeuksia. Tällaisia ovat Mustosen mukaan esimerkiksi oikeus käyttää laitteen muistia: ilman tätä oikeutta sovellus ei voi käyttää kameraakaan. Ilman mikrofonin käyttöoikeutta taas eivät toimi sovelluksen puheluominaisuudet eivätkä äänikomennot.

Toiset ominaisuudet ovat suorastaan välttämättömiä, esimerkiksi paikannus – pitäähän taksin löytää asiakkaansa. Tai oikeudet käyttää puhelimen verkkoyhteyksiä – tämä tarkoittaa käytännössä että sovellus tarvitsee internet-yhteyden toimiakseen.

Mutta miksi esimerkiksi Yandexin Yango-sovellus haluaa lisätä tai poistaa käyttäjän yhteystietoja? Tai miksi virolainen Taxify haluaa tietää, mitä muita sovelluksia puhelimessa on samaan aikaan käynnissä?

”Taxify haluaa myös oikeuden estää näytön lukitsemisen samalla, kun sovellus on käynnissä. Tämä on käyttäjän turvallisuuden vastaista ajattelua. Jos käyttäjä vaikka hukkaa puhelimensa sinne taksiin, se puhelin on ilman näytön lukitusta täysin muiden ihmisten käytettävissä.”

Mustonen korostaa, ettei hänen listauksensa ole kattava. On mahdollista, että monet hänen mielestään sovelluksen toiminnallisuuden kannalta järkevätkin käyttöoikeudet sisältävät uhkia, joita hän ei ole erikseen listannut.

Erkki Mustonen haluaa herätellä sekä sovellusten kehittäjiä että käyttäjiä.

”Miksi sovellukset vaativat jotain ominaisuuksia, kuten vaikkapa mahdollisuutta lukea kalenteria ja lähettää postia”, hän kysyy.

”Ellei jotain järkevää syytä ole, miksi tällaisia ominaisuuksia jätetään sovelluksiin?”

Alla olevasta taulukosta voit tarkistaa, mitä käyttöoikeuksia eri taksisovellukset kertovat android-käyttäjiltä pyytävänsä. Sovelluksista tarkemmin taulukon jälkeen. Taulukko on optimoitu mobiiliselaimille.



Kaksi sovelluksista erottuu erityisesti joukosta:

Uber

Kaikkein eniten käyttöoikeuksia haluaa Uber. Vaikka sovelluksen toiminnallisuuksia on kehuttu, yhtiöllä on arkijärjellä pääteltynä vähän erikoisia haluja.

Sovellus haluaa muun muassa lukea ja muokata käyttäjän yhteystietoja ja kalenterimerkintöjä sekä luoda laitteelle uusia käyttäjätilejä salasanoineen.

Tietosuojamielessä yhtiön omatunto ei ole puhdas. Vuonna 2016 Uberiin kohdistui tietomurto, jossa vietiin noin 600 000 yhdysvaltalaisen Uber-kuskin henkilökohtaisia tietoja kuten ajokortteja sekä noin 57 miljoonan kuskin nimet ja yhteystiedot. Rikolliset kiristivät Uberia, jotta asia ei tulisi ilmi, ja Uber maksoi rikollisille 100 000 dollaria. Asia tuli kuitenkin ilmi, ja johti 148 miljoonan dollarin sakkoon Yhdysvalloissa.

Yhtiö jäi viime vuonna myös kiinni siitä, että Apple-käyttäjien taksisovelluksella oli ominaisuus joka mahdollisti käyttäjän laitteen näytön tapahtumien tallentamisen taustalla ilman että käyttäjä tiesi siitä. Uber kertoi poistavansa ominaisuuden, kun tietoturvatutkijat toivat asian julki.

Yandexin Yango

Kaksi tietoturva-alan osaajaa tutustui Yangoon heti HS:n pyynnöstä kun yhtiö aloitti toimintansa. Selvityksessä kävi ilmi, että Yango haluaa esimerkiksi laitetietoja, kuten puhelimen yksilöllisen IMEI-koodin. Aiemmin syksyllä Liettuan kyberturvallisuusviranomainen varoitti liettualaisia käyttämästä Yandex-taksin sovellusta, sillä se lähettää dataa yhteentoista ip-osoitteeseen, joista suurin osa sijaitsee Venäjällä.

Näistä kolmen on kerrottu jatkavan datan lähettämistä silloinkin, kun sovellus ei ole käytössä.

Selvityksen julkaisemisen jälkeen useat tietoturvatutkijat ovat tutustuneet Yangon sovellukseen omin päin ja jakaneet havaintojaan HS:lle. HS ei julkaise heidän nimiään, sillä tavallisesti sovellusten purkaminen osiin on kielletty lisenssiehdoissa.

Tuloksista on kuitenkin tarpeen kertoa, sillä niillä on yhteiskunnallista merkitystä käyttäjien tietosuojan toteutumisen kannalta.

Yksi tietoturvatutkija havaitsi, että sovellus lähettää tietoja ip-osoiteavaruuteen osoitteiden 87.250.251.0:n ja 87.250.251.255 välillä. Nämä kaikki osoitteet sijaitsevat sijaitsevat lähteestä riippuen joko Moskovassa tai Jekaterinburgissa.

Toisen tietoturvatutkijan mukaan Yangoon on sisäänrakennettu puheentunnistusominaisuus, jonka hän ainakin havaitsi lähettävän datan Venäjälle.

Yangon oman kertoman mukaan kaikki henkilötieto säilytetään yhtiön Suomen-datakeskuksessa Mäntsälässä. HS:lle Yandexin edustaja kertoi, että sovellus lähettää Venäjälle vain ”teknistä dataa”, osaa erottaa, mistä tiedot ovat peräisin ja että kaikki on toteutettu EU:n tietosuoja-asetuksen mukaisesti.

EU:n tietosuoja-asetuksen mukaan tosin kaikkea anonymisoimatonta tietoa, joka voi toiseen tietoon yhdistettynä johtaa henkilön tunnistamiseen, on kohdeltava henkilötietona – olivat ne sitten puhelinnumeroita, selaushistoriaa tai teknisiä ääninäytteitä.

Mitä käyttöoikeuksia sovelluksille sitten kannattaa antaa käytettäväksi, jos haluaa saada taksin sujuvasti mutta pitää tietonsa suojassa?

Seuraava listaus kertoo lyhyesti, mikä on sovellukselle välttämätöntä, mikä järkevää ja mikä ainakin aivan liikaa.

Välttämätöntä

 Paikannus (sekä verkkoon perustuva yleistarkkuus että täsmällisempi, esimerkiksi GPS:aan perustuva)

 Oikeus vastaanottaa dataa

 Oikeus nähdä verkkoyhteydet

 Täydet oikeudet käyttää verkkoa

 Värinäasetusten hallinta

 Laitteen lepotilaan menon esto

Sovelluksen toiminnan kannalta mahdollisesti järkevää

 Puhelimen tilan ja yksilöivien tietojen tarkistaminen, kuten laitetunnus

 Suorasoitto numeroihin sovelluksen kautta

 Massamuistin käyttöoikeudet (sekä tallennustila että kuvat, media ja muut tiedostot)

 Langattomien verkkoyhteyksien tarkastelu

Enimmäkseen tarpeetonta eikä kovin turvallista

 Yhteystietojen lukeminen, lisääminen ja poistaminen

 Kalenterimerkintöjen lukeminen, lisäys ja muuttaminen

 Sähköpostin lähettäminen

 Muiden käynnissä olevien sovellusten tarkastelu

 Tallennustilan hallinta

 Laitteessa olevien tilien käyttö

 Uusien tilien ja salasanojen luonti

 Näyttölukituksen esto

HS testasi loppukesästä, millaista taksisovelluksen käyttäminen on arjen liikenteessä. Testissä kokeiltiin Valopilkun, Fixutaxin sekä Taksi Helsingin sovellukset. Katso video alta.


Oikaisu 23.11. klo 15.52 ja 17.57: Artikkelissa kerrottiin aiemmin Taksi Helsingin kommentoineen Twitterissä, että sovellus haluaa lähettää sähköpostimuistutuksia. Sovellus haluaa Taksi Helsingin mukaan tehdä kalenteriin merkinnän ennakkoon varatusta matkasta. Lisäksi täsmennetty otsikkoa niin, että poistettu sana ”salaa” otsikosta ”Taksi Helsinki haluaa oikeuden käyttäjänsä kalenteriin ja lähettää salaa sähköpostia”.

    Seuraa uutisia tästä aiheesta

  • Teknologia
  • Taksit
  • Sovellukset
  • Tietoturva
  • Laura Halminen

Kommentit

    Ei vielä kommentteja. Kirjoita ensimmäinen.

    Näytä lisää
    Luetuimmat
    1. 1

      Verkkokauppa Asoksen epätoivoisesta joulukaupasta on tullut vaateketjujen kannalta painajaismainen näytelmä – tästä siinä on kyse

    2. 2

      Viron poliisi otti kiinni kymmenen Danske Bankin työntekijää

    3. 3

      NYT: Facebook antoi Netflixille ja Spotifylle vapaan pääsyn käyttäjien yksityis­viesteihin

    4. 4

      Uutta tietoa noin 10-vuotiaan espoolaistytön epäillystä pahoinpitelystä: Väkivalloin kaadettu tyttö iski päänsä maahan, vietti yön sairaalassa

    5. 5

      ”Tämä on ainoa oikea tapa elää”, sanoo 81-vuotias Iiri Heinilä, joka teki eläkkeellä suuren elämän­muutoksen – Kolme kahdeksan­kymppistä paljastaa, mikä on pitkän iän salaisuus

      Tilaajille
    6. 6

      Mitä Facebookin uusimmasta skandaalista pitäisi ajatella? Yritys meni taas yhden rajan yli ja teki jopa yksityisistä viesteistämme kauppa­tavaraa

    7. 7

      Helsingin oman virka­miehen kapina pysäytti home­koulun purkamisen – Apulais­pormestari hermostui: ”Pöyristyttävää”

    8. 8

      Haaveiletko muutosta pientalo­alueelle? THL:n ylilääkäri kehottaa harkitsemaan: ”Huonon ilman­laadun takia voi joutua infektio­kierteeseen”

    9. 9

      Tullin salainen ase: Helsinki-Vantaalle koulutetaan huippuunsa viritetty makkarakoira

    10. 10

      Viikingit kasvattivat kissoja turkiseläiminä, mutta keskiajalla kissojen koossa tapahtui poikkeuksellinen muutos

    11. Näytä lisää
    1. 1

      Kiina hiipii pohjoiseen, ja poromies Jussa Seurujärveä hirvittää – HS:n erikoisartikkeli kertoo, miten Aasian jätti hivuttaa valtaansa Suomeen ja mitä sen loputon raaka-ainenälkä meille tarkoittaa

      Tilaajille
    2. 2

      Punaisten hiusten syy selvisi

    3. 3

      Pako jatkunut jo kolme kuukautta: Autoilija kävi yliajamansa naisen luona ja jätti tämän suojatielle kuolemaan Tikkurilassa

    4. 4

      Helsingin oman virka­miehen kapina pysäytti home­koulun purkamisen – Apulais­pormestari hermostui: ”Pöyristyttävää”

    5. 5

      Ravintoloitsija Seppo ”Sedu” Koskinen ajoi Namuravintolan konkurssiin saadakseen verovähennyksiä – Verottajalle jäämässä 29 000 euron saatavat

    6. 6

      Äiti etsii hyväntekijää: 11-vuotiaan tytön lahjaostokset pelastuivat Espoon Sellossa

    7. 7

      Oulun seksuaalirikoksista epäilty vapautettiin vahingossa Saksassa – miehestä annettu kansainvälinen etsintäkuulutus

    8. 8

      Haaveiletko muutosta pientalo­alueelle? THL:n ylilääkäri kehottaa harkitsemaan: ”Huonon ilman­laadun takia voi joutua infektio­kierteeseen”

    9. 9

      ”Tämä on ainoa oikea tapa elää”, sanoo 81-vuotias Iiri Heinilä, joka teki eläkkeellä suuren elämän­muutoksen – Kolme kahdeksan­kymppistä paljastaa, mikä on pitkän iän salaisuus

      Tilaajille
    10. 10

      Miksi 47 uutta hävittäjää ei riitä Suomelle? Taustalla ilmasodan parvitaktiikka

    11. Näytä lisää
    1. 1

      Kiina hiipii pohjoiseen, ja poromies Jussa Seurujärveä hirvittää – HS:n erikoisartikkeli kertoo, miten Aasian jätti hivuttaa valtaansa Suomeen ja mitä sen loputon raaka-ainenälkä meille tarkoittaa

      Tilaajille
    2. 2

      Lääkäri Antti Heikkilän uutuus­kirja vilisee virheitä – HS pyysi asian­tuntijoita arvioimaan tekstin: ”Tällaiset väitteet voivat johtaa kuoleman­tapauksiin”, professori sanoo

      Tilaajille
    3. 3

      Kansallisbaletin Tuhkimon ylipainoiseksi puettu hahmo loukkasi Ani Kellomäkeä niin, että hän lähti esityksestä pois: ”En halunnut osallistua yhteiseen kiusaamishetkeen”

    4. 4

      Kun 35-vuotias nainen haluaa lapsen, mutta ei kelpuuta mukavaa miestä, naisen täytyy olla sekaisin

    5. 5

      Laura Huhtasaari kirjoitteli blogiinsa väitteitä islamista, sai kirjoituskiellon, samalla perussuomalaisnaiset kampanjoivat suut teipattuna – tästä kaikessa on kyse

    6. 6

      Merten roskapyörteiden kunnian­himoinen puhdistus­operaatio vastatuulessa – teinin keksinnöstä löytyi kohtalokas vika

    7. 7

      Kokenut maailman­matkaaja vinkkaa kymmenen ainut­laatuista matka­elämystä – mukana myös suomalainen, unohdettu helmi

    8. 8

      Pekka Haaviston lausunto perus­suomalaisista oli viisautta, jota vihreät eivät kestä kuulla

    9. 9

      Apulaisprofessori Joy Wolframia, 29, luullaan usein assistentiksi – tosiasiassa hän on Helsingissä kasvanut huippu­tutkija, joka johtaa uraa uurtavaa syöpä­tutkimusta arvostetulla yhdysvaltalais­klinikalla

      Tilaajille
    10. 10

      Mummon autotallista löytyi autofanien sydämet särkevä, jopa sadantuhannen arvoinen yllätys

    11. Näytä lisää