Applen selitykset eivät vakuuta - Digitoday - Ilta-Sanomat

Applen selitykset eivät vakuuta

Applen mukaan sen iCloud-palvelua ei murrettu tietoturva-aukon avulla. Siitä huolimatta sadan naisen yksityiset kuvat julkaistiin verkossa. Onko kehno tietoturva siis pilvipalvelun perusominaisuus?

5.9.2014 9:59

Apple julkaisi tiistaina tiedotteen, jossa se selitti, miten noin sadan yhdysvaltalaisen julkkisnaisen alastonkuvat vuotivat verkkoon.

Yhtiö vahvisti, että julkaistuja kuvia oli tosiaan viety sen iCloud-tallennuspalvelusta. Yhtiö kuitenkin kiisti väitteet, että palvelu olisi murrettu esimerkiksi Find My Phone -toiminnosta löytyneen virheen takia, joka salli rajattomasti kokeilla erilaisia salasanoja, kunnes oikea löytyy.

Apple tosin tarkensi, että kuvat vietiin hyvin kohdistetuilla hyökkäyksillä. Hakkerit onnistuivat arvaamaan oikein iCloudin turvakysymykset tai tähdet saatiin kertomaan käyttäjätunnuksensa ja salasanansa heille lähetettyjen huijausviestien avulla.

Turvakysymyksiä on jo pitkään pidetty tietoturvan kannalta vähintään epäilyttävinä. Palveluiden käyttäjät ovat jo saattaneet esimerkiksi Facebookissa kertoa suosikkiartistinsa tai syntymäkaupunkinsa, joten turvakysymysten vastaukset voivat olla helposti hakkerien löydettävissä.

Varsinkin julkkisten turvakysymystiedot voivat olla käytännössä julkisia tuhansien ja tuhansien haastattelujen takia. Jossain vaiheessa he ovat saattaneet kertoa tietoja, joiden perusteella vastaukset voi arvata tai etsiä.

Täydellistä turvaa ei ole olemassa. Verkkopankkien tietoturva on paljon iCloudia parempi, ja silti niistäkin on onnistuttu viemään käyttäjien rahoja, esimerkiksi huijaamalla käyttäjiä väärällä laskulla.

 Kärjistäen Apple siis kertoi, että sadat yksityiset kuvat päätyvät verkkoon, mutta kaikki on kuten pitääkin.

Applen selitys jättää kuitenkin epämiellyttävän tunteen. Kärjistäen Apple siis kertoi, että sadat yksityiset kuvat päätyvät verkkoon, mutta kaikki on kuten pitääkin. Ei siis mitään ongelmaa?

Pienen lisäsäväyksen Applen tiistaiselle selitykselle antaa sen oma ohje tietoturvan parantamiseksi. Apple neuvoi iCloud-käyttäjiä suojautumaan kaksivaiheisella tunnistuksella, joka lähettää esimerkiksi käyttäjän iPhoneen tunnistuskoodin, jos joku pyrkii iCloud-tilin asetuksiin.

Ikävä vain, ettei kaksivaiheista tunnistusta vaadita, jos joku haluaa päästä puhelimen varmuuskopioihin iCloud-palvelussa. Ohje kaksivaiheisen tunnistuksen käyttämisestä ei siis olisi suojannut kuvavuodon uhreja.

Applen selitykset ja tietoturva ontuvat siis pahasti. Toimitusjohtaja Tim Cook on nyt kertonut, että Apple aikoo parantaa tietoturvaa uusilla hälytyksillä.

 Lisäksi Apple haluaa vielä terveystietosi.

Tarvetta parantamiseen todella on. Seuraavaksi yhtiön suunnitelmissa on ennakkotietojen mukaan liittää iPhoneen luottokortit, eli ostoksia voisi tulevaisuudessa maksaa näyttämällä puhelinta kassapäätteen nfc-lukijalle.

Lisäksi Apple haluaa vielä terveystietosi: Yhtiö kehittää uutta HealthKit-sovelluskokonaisuutta, jonka avulla iPhonen käyttäjä voisi tallentaa terveyttä koskevia tietoja.

Yhtiö on kieltänyt terveyssovelluksia tekeviä sovelluskehittäjiä tallentamasta terveystietoja iCloudiin. Terveyttä koskevat tiedot ovat arkaluonteisia, eikä Applella ole niiden tallennukseen viranomaisten lupaa. Nykyisten tietojen mukaan HealthKit tallentaisi ne siis puhelimen muistiin.

Entä jos puhelimesta haluaa tallentaa varmuuskopion iCloudiin? Siirtyvätkö terveystiedot silloin kuitenkin Applen pilvipalveluun? Tähän Apple ei ole vastannut.

ICloudin ja muidenkin pilvipalveluiden tietoturvassa on varmasti vielä paljon parantamisen varaa, ja se pitäisi Applen ja muidenkin niitä tarjoavan yrityksen tunnustaa.

Applen, Googlen, Microsoftin ja muiden puhelimien tietojen varmuuskopiointia verkkopalveluun tarjoavat yritykset eivät voi väistää vastuutaan ja syyttää pelkästään käyttäjiä lankeamisesta huijauksiin. Yhtiöt ovat itse markkinoineet pilvipalveluitaan kätevinä ja turvallisina. Useat käyttäjät eivät todennäköisesti edes ymmärrä, minne ja mitä kaikkea tietoa heistä verkkoon siirtyy.

Kun puhelimia käytetään yhä arkaluontoisempien tietojen tallentamiseen, pitää myös tietoturvan parantua. Se saattaa tosin vaatia asennemuutosta myös käyttäjiltä. Jos varkaiden pääsy verkkopalvelun tilille tehdään entistä vaikeammaksi, se saattaa vaikeuttaa myös normaalia käyttöä.

Ehkä tulevaisuudessa käyttäjä voi valita, haluaako puhelimeensa liittyviltä pilvipalveluiltaan helppoa tallennusta vai pankkeihin verrattavaa tietoturvaa. Nykyään tätä mahdollisuutta ei ole.

Artikkeliin liittyviä aiheita

Osion tuoreimmat

Luitko jo nämä?