Älypuhelin on turvallinen epämääräisillä sivuilla – vielä hetken - Tietoturva - Ilta-Sanomat

Älypuhelin on epämääräisilläkin sivuilla turvallinen – vielä hetken

Älypuhelimella voi toistaiseksi surffata vielä suhteellisen turvallisin mielin, sillä uhkat tulevat muualta kuin webbisivuilta. Puhelin ei silti ole turvallinen. Älypuhelinta vaanivat vaarat tulevat sovelluksista ja etenkin niiden mainoksista.

My Twitter Pics on tyypillinen Android-haittaohjelma. Se väittää olevansa kuvagalleriasovellus, mutta sisältää puhelimen tietoja varastavan ja tekstiviestejä lähettelevän IconoSys.A-troijalaisen.

19.3.2013 6:00 | Päivitetty 18.3.2013 17:51

F-Securen tietoturvajohtaja Mikko Hyppönen twiittasi helmikuussa kyseenalaistaen amerikkalaisen Blue Coat -tietoturvayhtiön väitettä pornosurffauksen vaaroista älypuhelimelle.

Hyppönen totesi ytimekkäästi ”I’m not buying these results” eli “en usko tuloksia”.

Pornosivujen vaarallisuus tietokonemaailmassa perustuu driveby-hyökkäyksiin, eli haittakoodin työntämiseen koneelle suoraan webbisivuilta.

Älypuhelimissa driveby-hyökkäyksiä ei ole vielä nähty. Tämän vuoksi älypuhelin on vielä verrattain turvallinen surffilauta.

Kiinnostaa rikollisia, muttei ihan vielä

Nokiakin pitää puhelimen turvallisuutta epämääräisillä verkkosivuilla tärkeänä myyntivalttina. Markkinoidessaan Lumioita yrityskäyttöön yhtiö kehuu puhelimien turvallisuutta epämääräisillä nettisivustoilla muiden turvaominaisuuksien, kuten laitesalauksen ja koodiallekirjoitusten, ohella. Puhelin taipuu sellaiseen käyttöön, johon työnantaja ei sitä tosiaankaan haluaisi.

Älypuhelin ei silti ole turvallinen laite.

– Kaikissa mobiilikäyttöjärjestelmissä on teknisiä haavoittuvuuksia. Hyökkääjät eivät ole vaan hyödyntäneet niitä vielä, sanoo F-Securen vanhempi tietoturvatutkija Jarno Niemelä.

Niemelän mukaan syy tähän on yksinkertainen: verkkorikolliset saavat pc-puolelta toistaiseksi paljon paremmat rahat.

Nykyisessä alihankintamallissa murtautumisohjelmistojen tekijät eivät yleensä tee murtoja. He valmistavat murto-ohjelmistot eli exploitkitit, joita rikolliset ostavat ja käyttävät.

Kun käyttäjät siirtyvät tabletteihin, siirtyvät rikolliset perässä. Missä massat, siellä myös parhaat rikostuotot.

– Hyökkääjä haluaa muuttaa haltuun otetun laitteen rahaksi. Tällä hetkellä samalla vaivalla kuin 20 000 puhelimen verkon saa 200 000–2 000 000 pc-konetta, joilla rahastaminen on vieläpä helpompaa, Niemelä kertoo.

Pieni on kaunistatietoturvamielessä

Älypuhelimien rauhoitusaika kestää vielä hetken. Niemelä ei osaa ennustaa, milloin asia muuttuu.

– Tulemme näkemään aikamoisen myrskyn. Millään puhelinvalmistajalla ei ole ollut riittävää kannustinta laittaa puhelimen tietoturvaa kuntoon.

Niemelän mukaan turvallisin älypuhelinkäyttöjärjestelmä on Windows Phone. Sitä suojaa etenkin sen pienuus. Suuret käyttäjämassat ovat ainakin toistaiseksi muualla.

Niemelä nostaa iPhonen toisesi turvallisimmaksi älypuhelimeksi. Sitä suojaa Applen intressi pitää puhelin täysin suljettuna järjestelmänä.

– Apple haluaa estää puhelimen jailbreakin. Sillä on vahva kaupallinen intressi pitää puhelin tiukasti suojattuna.

Niemelän mukaan driveby-hyökkäykset tulevat kyllä ennen pitkää. Viime vuonna nähtiin älypuhelimeen suunnatun drivebyn esiaste, jossa nettisivu pani puhelimen lataaman Androidin apk-paketin eli asennustiedoston.

Haitake ei kuitenkaan asentanut itse itseään, vaan käyttäjän piti asentaa se itse. Tämä tosin tapahtui helposti, sillä ilmoitus tiedoston lataamisesta on varsin samannäköinen kuin ilmoitus järjestelmäpäivityksestä.

Mutta entä Blue Coatin alkuperäinen väite? Onko porno puhelimelle vaarallista?

– En usko, että se on totta. Kyllä sen olisi joku muukin huomannut, Niemelä toteaa.

Nettisivut eivät siis ole puhelimille vaarallisia – vielä. Suurin uhka tule ohjelmistoista.

Haittaohjelmat tulivat jo

Haittaohjelmiin perustuvat huijaukset ovat suurin ongelma Android- ja Symbian-käyttöjärjestelmissä, sillä App Storessa ja Windows Marketplacessa on tiukempi valvonta.

Suomaisille kohdistettuja haittaohjelmia ei ole toistaiseksi näkynyt.

– Isommat kieliryhmät ovat houkuttelevampia, sanoo digitaalisten palveluntuottajien kattojärjestö Teleforumin toimitusjohtaja Juhani Kivikangas.

Toki suomalaiset ovat alttiita latauskaupoissa oleville haittaohjelmille muun maailman tapaan. Jotkut ovat joutuneet huomaamaan verkosta ladatun Android-pelin tai ”akunsäästäjän”  lähettelevän tekstiviestejä maksullisiin numeroihin.

Kivikankaan mukaan ainoa viime vuonna suomalaisiin puhelimiin räätälöity huijausyritys oli tekstiviesti- eikä sovelluspohjainen. Vääriin käsiin päätyneen puhelinnumerojen omistajille lähetettiin tekstiviesti, jossa heidän kerrottiin liittyneen viisi euroa kuussa maksavaan palveluun. Palvelusta saattoi erota vain tekstiviestillä, joka maksoi niin ikään viisi euroa.

Toistaiseksi suomalaisen kuluttajan asema on hyvä. Kun kyseessä on selvä huijaus eikä puhelimen käyttäjän oma virhe, ei omia kukkaronnyörejä tarvitse raottaa. Suomalaisoperaattorit tekevät yhteistyötä Teleforumin kautta ja pystyvät estämään maksun tilittämisen eteenpäin – tällöin maksumieheksi joutuu maksuverkosto, jonka kautta raha liikkuu ulkomaille.

– Jos epäilee aiheetonta laskutusta tai harhaanjohtavaa mainontaa, ensin kannattaa ottaa yhteys palveluntarjoajaan. Seuraava vaihe on operaattori ja kolmanneksi Mapel (maksullisten puhelinpalveluiden eettinen lautakunta). Jos puhelinlaskussa on ylimääräistä, lasku kannattaa silti maksaa, mutta reklamoida. Operaattori voi estää rahan siirron, Kivikangas sanoo.

Epämääräiset, ehkä ei-toivotut?

Varsinaisten haittaohjelmien ja tavallisten applikaatioiden välissä on vielä harmaa alue, josta käytetään nimeä potentially unwanted applications, mahdollisesti ei-toivotut ohjelmat. Niillä tarkoitetaan sovelluksia, jotka näyttävät mainoksia, asentavat omia lisäkkeitään ja tekevät muita epämääräisiä asioita.

– Haittaohjelmat eivät ole suurin puhelimen uhka. Suurin ongelma ovat potentiaalisesti ei-toivottujen ohjelmien rahastushuijaukset. Ohjelma itsessään ei ole vihamielinen, mutta niissä näytettävät mainokset vievät haitallisiin ja kalliisiin palveluihin, F-Securen Niemelä sanoo.

Mainokset puhelimiin myydään yleensä mainosverkostojen kanssa. Jos ohjelman tekijä ei tiedä, kenelle mainostilansa myy, saattaa hän tehdä ohjelmastaan vahingollisen. Puhelimen käyttäjän on vaikea tietää, mitkä mainokset ovat luotettavia.

Osion tuoreimmat

Luitko jo nämä?