Jos Yandexin kohutun taksisovelluksen tiedot lähetetään Venäjälle, ei tietoturva-asiantuntija Erkki Mustosen mukaan voida olla varmoja, miten ja mihin niitä käytetään. Asiantuntijan mukaan tilanteessa ei ole paljoa tehtävissä.
VIDEO: Mustonen arvioi Yango-sovellusta myös MTV Uutisissa tiistaina.
Venäläisen internetyhtiö Yandexin taksipalvelujen laaja tietojenkeruu on herättänyt epäilyksiä erityisesti Virossa ja Liettuassa.
Suomessa marraskuun alussa käyttöön tullut Yango-taksisovellus haluaa muun muassa pääsyn puhelimen käyttäjän valokuviin, kameraan, mikrofoniin, yhteystietoihin, tekstiviesteihin sekä sim-kortin ja wifi-verkkojen tietoon.
Liettuan Kyberturvallisuuskeskus on varoittanut Suomea, että tiedot lähetettäisiin sovelluksesta "jonnekin EU-alueen ulkopuolelle", todennäköisesti Venäjälle.
Eri sovellusten tietoturva ja yksityisyydensuoja ovat olleet tapetilla jo pitkään, muun muassa viimeksi Facebookin Cambridge Analytica -kohun myötä.
Mikä kohutussa Yandexin taksisovelluksessa on niin poikkeuksellista? Miten voi välttää haksahtamisen epäilyttäviin sovelluksiin, joista omat tiedot voivat päätyä ties minne?
Omistuisen laajat käyttöoikeudet sovelluksen tarkoitusta varten?
Tietoturva-asiantuntija Erkki Mustonen muistuttaa, että sovelluksia pitäisi ladata vain virallisista sovelluskaupoista eli esimerkiksi Android-laitteiden kohdalla vain Googlen Play -kaupasta. Vaikka sovelluksen lataisi sieltä, ei voi kuitenkaan olla 100-prosenttisen varma, että se on riittävän turvallinen esimerkiksi käyttäjän tietoturvan tai yksityisyyden suojan kannalta.
– Yksi hyvä keino on katsoa Google Play -kaupasta ennen asennusta, mitä käyttöoikeuksia sovellus vaatii. Jos sovellus vaatii epäilyttävän paljon erilaisia käytön kannalta tarpeettoman tuntuisia käyttölupia, olisi hyvä miettiä, onko sen lataaminen järkevää, Mustonen kertoo MTV Uutisille.
Mustonen muistuttaa, että sovellukset tarvitsevat jonkin verran käyttölupia ja käyttäjädataa toimiakseen. Arveluttavaa voi sen sijaan olla, jos pyydetyt käyttöluvat eivät sovi sovelluksen käyttötarkoitukseen tai niille ei löydy järkevää selitystä.
Esimerkiksi taksisovelluksille sijaintitiedot ovat välttämättömiä sovelluksen toimimisen kannalta – pitäähän asiakas löytää ja saada kyytiin. Mikrofonin oikeuksia taas tarvitaan, jos haluaa käyttää sovellusta esimerkiksi äänikomennoin.
Mustosen mukaan yksi epäilyttävä asia Yangon kaltaisissa taksisovelluksessa on esimerkiksi se, jos sovellus pyytää lupaa puhelimen kontaktitietojen muokkaamiseen pelkän lukemisen sijaan. Se ei kuulostaa asiantuntijan mukaan järkevältä.
Yangon oikeudelle valokuvien lukemiseen Mustonen ei keksi myöskään mitään selitystä. Sim-kortin tietoihin taas voidaan pyytää lupaa, jotta puhelinnumeron saaminen on mahdollista.
– Jos pyritään kuitenkin lukemaan myös puhelimen muita tunnistetietoja ja IMEI-tietoja, on vaikea kuvitella miksi, koska siihen ei ole järkevää syytä. Nykypuhelimissa yhteystiedot säilytetään muutenkin useimmiten puhelimenmuistissa, ei sim-kortilla, Mustonen kertoo.
Näin tarkastat käyttöoikeudet
Androidissa sovelluksen käyttöoikeuksia voi tarkastella lataamisen yhteydessä Google Play -kaupan lisätieto-osuudesta, jossa luetellaan sovelluksen käyttöluvat. Käyttölupia voi myös muokata jälkeenpäin puhelimesta sovelluksen asetuksissa. Sieltä kuka tahansa voi päättää, ovatko oikeudet päällä vai eivät.
On kuitenkin hyvä muistaa, että jos sovelluksen käyttöoikeuksia rajoittaa, se voi vaikuttaa sovelluksen toimintaan.
Kun sovelluksia lataa Apple Storessa, kysytään asentamisen yhteydessä aina käyttöoikeuksien luovuttamisesta erikseen.
Myös iPhoneissa sovellusten käyttöoikeuksia voi tarkastella sovelluksen asetuksissa, jossa ne on jaoteltu oikeuksien mukaan. Samalla tavalla oikeuksia voi kytkeä päälle ja pois päältä.
Käyttöehdoista mahdoton saada yksiselitteistä kuvaa
Yango-sovelluksen on kerrottu saattavan jatkaa GPS-tietojen tallentamista, vaikka ominaisuuden kytkisikin puhelimesta pois päältä. Tällainen tietojen keruu ei ole Mustosen mukaan missään tapuksessa hyvien käytäntöjen mukaista – vaikka siitä sanottaisiin käyttöehdoissa.
– Käyttöehdot ovat useimmiten juridisesti ongelmallisia. Ne täytyy aina hyväksyä ennen sovelluksen käyttöönottoa, mutta ne ovat niin monitulkintaisia, että on lähes mahdoton saada yksiselitteistä kuvaa siitä, mihin tietoja käytetään ja mihin niitä lähetetään eteenpäin, Mustonen sanoo.
Mustosen mukaan siinä ei ole mitään omituista, että sovellukset antavat tietoja kolmansille osapuolille. Ilmaissovellukset luovuttavat tietoja tyypillisesti mainostajille, jotka rakentavat niistä käyttäjäprofiileja.
Sovellukset keräävät dataa hyvinkin tarkasti sovelluksen käyttötavoista, kuten milloin, missä ja mihin tarkoitukseen sovellusta ja sen ominaisuuksia käytetään. Näitä tietoja voidaan käyttää edelleen erilaisiin markkinointitoimenpiteisiin.
– Korni vertaus on, että oma elämä muuttuu tavallaan kauppatavaraksi, Mustonen kuvaa.
Mihin tiedot menevät Venäjällä?
Jos tiedot talletetaan ETA-maihin tai Amerikkaan, ei Mustosen mukaan ole epäselvyyttä siinä, mihin ja miten tietoja käsitellään. Näissä maissa on omat selkeät säädöksensä tietojen käytöstä, EU:ssa esimerkiksi GDPR.
Jos tiedot kuitenkin lähetetään ETA-alueen ja Amerikan ulkopuolelle, kuten Yandexin tapauksessa Venäjälle, ei voida Mustosen mukaan olla varmoja, mihin ja miten tietoja käytetään. Se onkin huolestuttavaa.
Miksi hämärän sovelluksen sitten annetaan toimia? Yandexin taksisovelluksen toimintaan puuttuminen on Mustosen mukaan vaikeaa.
Vaikka venäläinen sovellus on rekisteröity Hollantiin ja näin ollen sen pitäisi noudattaa EU-lainsäädäntöä, on sen käyttöehdoissa myös erikseen mainittu, että sopimusta sovelletaan ja tulkitaan viime kädessä Venäjän lainsäädännön mukaisesti.
– Paljoa ei ole tehtävissä. Viranomaisten pitäisi pyrkiä yhteistyöllä ratkaisemaan asia, Mustonen sanoo.
Mustosen mukaan jonkin verran vastuuta epäilyttävien sovellusten jakelusta pitäisi olla myös Googlella ja Applella. Heidän pitäisi tarkistaa sovellukset vaaroilta ennen niiden jakelua. Mustosen mukaan tarkastukset ovat parantuneet merkittävästi viime vuosien aikana, vaikka parannettavaakin vielä on.
Onko laajoista käyttöoikeuksista sitten syytä olla huolissaan? Mustosen mukaan se on henkilökohtainen kysymys. Muutaman vuoden takaiseen verrattuna tietoja annetaan nykyisin avoimemmin. Joskus kuitenkin kannattaisi järkeillä, onko siinä tolkkua.
– Jälleen näin pikkujoulukaudella mobiilitaksien käyttö räjähtää käsiin. Kannattaa harkita, millaisia palveluita käyttää. Hinnan lisäksi kannattaa ehkä katsoa vähän sitä käytettävän sovelluksen käyttöehtopuolta, asiantuntija sanoo.
Siitä, millä sovelluksella pikkujoulutaksi sitten kannattaa tilata, Mustonen ei paljasta suositustaan.