Kiinalainen puhelin ei ole ongelman ydin – älypuhelimien tiedonkeruu saattaa olla vastoin EU-kansalaisen odotuksia - Tietoturva - Ilta-Sanomat

Onko kiinalainen puhelin vaarallinen? Näin kommentoivat viran­omainen ja tieto­turva-asian­tuntija

Liettualaisten löydökset herättivät pelkoa kiinalaispuhelimiin. Asiantuntijoiden mukaan kyse ei ole yhteen maahan liittyvästä ongelmasta. Kuluttajan asema on kuitenkin vaikea.

Liettuan viranomaiset tutkivat kolme puhelinta. Suurimmaksi puheenaiheeksi nousi Xiaomi.

25.9. 7:03

Liettua varoitti eilen joihinkin kiinalaispuhelimiin upotetuista seuranta- tai sensuurityökaluista, joilla puhelimen käyttäjän Kiinan-vastaista viestintää on mahdollista tarkkailla. Maan apulaispuolustusministeri kehotti kansalaisia luopumaan kiinalaispuhelimista.

Ominaisuudet eivät ole käytössä EU:ssa, mutta ne on tuotavissa puhelimeen hyvin pienellä päivityksellä. Ominaisuus on osa puhelinvalmistajan lähdekoodia. Nimeltä laitevalmistajista mainittiin Xiaomi.

Lue lisää: Liettua teki hätkähdyttävän löydön kiinalaisista puhelimista – suosittelee kansalaisiaan lopettamaan käytön

Lue lisää: Liettua löysi kiinalais­puhelimeen piilotetun ”sensuuri­listan” ja suositteli kansalaisia lopettamaan käytön – kaikki eivät usko väitettä

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen johtava asiantuntija Jussi Eronen sanoo Suomen viranomaisten seuraavan tilannetta tekniseltä kannalta. Hänen mukaansa liettualaisten löydös kertoo siitä, että puhelimessa on käyttäjältä piilossa pidettyjä, epämieluisaksi koettuja ominaisuuksia.

Kyberturvallisuuskeskus ei aio suositella tai neuvoa välttämän tiettyjen valmistajien tuotteita. Raportissa tehtiin huomioita sekä tietosuojaan että tietoturvaan liittyen. Tietoturva-aukoista, jollainen löytyi ainakin Huawein puhelimesta, valmistellaan tiedottamista.

Kyberturvallisuuskeskus kiinnittää huomiota myös kolmansien eli muiden kuin laitevalmistajien osapuolien sovelluskauppoihin, jotka eivät turvallisuudeltaan ole aina samalla tasolla kuin suuret toimijat.

Kuluttajan tilanne ei ole Erosen mukaan helppo. On valmistajia, jotka ottavat turvallisuuden ja yksityisyyden suojan vakavasti, viestivät avoimesti ja reagoivat ilmoituksiin. Tällaisia valmistajia saisi kuitenkin olla markkinoilla nykyistä enemmän.

Kilpailua käydään hinnalla ja ominaisuuksilla.

– Moni lähestyy asiaa toisin, koska kilpailua käydään hinnalla ja ominaisuuksilla. Kuluttajalla ei ole helppoa tapaa saada tietoa siitä, millä valmistajilla on prioriteetti kuluttajan tiedon suojaamisessa. Kansainvälistä ja puolueetonta turvasertifikaattia ei ole, Eronen sanoo.

Erosen mukaan puhelimien yksityisyysongelmaa ei voida johtaa tiettyyn maahan tai valmistajaan. Kaikki puhelinvalmistajat keräävät tietoa asiakkaistaan valmistajan alkuperästä riippumatta. Suuri osa tiedosta kerätään yleisesti hyväksytyin perustein, kuten tuotekehityksen nimissä.

Kaikkialla ei ajatella asioita samasta vinkkelistä, mistä seuraa yllätyksiä.

– EU:ssa meillä on tiukemmat vaatimukset tieto- ja kuluttajansuojan suhteen kuin muissa maissa. Kaikkialla ei ajatella asioita samasta vinkkelistä, mistä seuraa yllätyksiä. Vastaan voi tulla tiedon keräämiseen ja tallentamiseen liittyviä asioita, joista kuluttajalle olisi vähintään pitänyt kertoa.

Liettuan puolustusministeriö tutki Xiaomi Mi 10T 5G:n (vasemmalla), Huawei P40 5G:n ja OnePlus 8T 5G:n perinpohjaisesti. Xiaomista löytyi viestinnän seurantaa ja Huaweista tietoturva-aukko. OnePlussasta ei ollut huomautettavaa.

Tietoturvayhtiö F-Securen tietoturvajohtaja Erka Koivunen pitää hyvänä Suomen linjaa, jossa kansalaisille ei anneta suoria kehotuksia, ellei kyse ole selkeästi toteen näytetyistä riskeistä.

Koivunen pitää kuitenkin mahdollisesti arvaamattomasti toimivia puhelimia riskeinä etenkin yrityksille sekä niiden asiakkaille. Liettuan jakamat löydökset ovat suuri palvelus markkinoille, kuluttajille ja yrityksille.

– Kun puhelimia myydään, jälleenmyyjillä ja operaattoreilla on kiusaus laittaa niihin omia laajennuksia: pilvipalveluja, sovelluskauppoja tai somesovelluksia. Etenkin Android-puhelimissa on valmistajan laitteen ja Googlen käyttöjärjestelmän päällä oikea välimiesten armeija, joka lisäilee omia tekeleitään, jotka ovat kuluttajan etujen vastaisia.

– Pahimmillaan ne vaarantavat puhelimen tietoturvan ja käyttäjän tietosuojan.

Mitä ilmeisimmin Liettuan löydöksessä on kyse juuri tästä: toisella markkinalla käytettäväksi tarkoitetusta asiasanoihin perustuvasta valvonta- tai sensuurisysteemistä.

Kuluttajien kannalta tilanne on hankala. Monet saavat henkilökohtaiseen käyttöönsä yrityksen ostaman edullisen ja potentiaalisesti turvattoman laitteen. Myös lapsen puhelin on usein edullisemmasta päästä. Puhelimen ”puhdistaminen” turvallisemmaksi kotikonstein on aikaa vievää ja osaamista vaativaa.

F-Secure on luonut omille työntekijöilleen listan puhelimista, joita pidetään riittävän turvallisena. Listan ydin on siinä, että puhelimissa on mahdollisimman vähän laitevalmistajan ja muiden tahojen sinne laittamia ylimääräisiä ohjelmistoja eli bloatwarea.

Listalla on iOS-käyttöjärjestelmäänsä luottavan Applen iPhoneja ja Android-puhelimien puolelta ohjelmistoiltaan pelkistettyjä HMD:n valmistamia Nokia-puhelimia sekä Googlen Pixel-laitteita. Jälkimmäiset eivät ole myynnissä Suomessa.

Koivunen huomauttaa, että jopa samat puhelinlaitteet voivat toimia eri maissa eri tavoin riippuen siitä, minkä maalainen sim-kortti laitteessa on. Valmius on olemassa ohjelmistoissa ilman tarvetta päivityksille.

F-Securen löydöksen mukaan niin Samsungin, Huawein kuin Xiaomin puhelin oli otettavissa ulkopuolisen tahon hallintaan, kun siinä oli kiinalainen sim-kortti. Ominaisuus tunnetaan nimellä takaportti. Nämä haavoittuvuudet on sittemmin korjattu, mutta se ei sulje pois vastaavien olemassa oloa muissa laitteissa.

Lue lisää: Pelottava löydös: Sim-kortin vaihto voi tehdä puhelimesta vaarallisen

Lisäksi Koivunen muistuttaa F-Securen todenneen vuonna 2014, että Xiaomin puhelin on lähettänyt puhelu- ja laitetietoja valmistajan palvelimille.

Käyttäjän on vaikea tietää puhelimensa turvallisuutta.

– Ostajan ja jälleenmyyjänkin on todella vaikea varmistua laitteiden asianmukaisuudesta. Riskiä voi hallita pitäytymällä varmoissa ja hyvämaineisissa valmistajissa. Tai sitten suorittamalla tietoturvatutkimusta. Jälkimmäinen on ymmärrettävästi harvojen saatavilla, Koivunen summaa.

Riskiä voi hallita pitäytymällä varmoissa ja hyvämaineisissa valmistajissa.

Kiinalaisten puhelimien karttaminen ei kuitenkaan ole yleisavain turvallisuuteen.

– Kaikki on jollain tavalla valmistettu Kiinassa, joten linjaus olisi mahdoton. Oleellista on, onko valmistaja valmis kunnioittamaan markkinoidensa pelisääntöjä ja Euroopassa keskeisiä pelisääntöjä ovat oikeus yksityisyyteen ja tieto siitä, miten laite toimii. Itselläni on Xiaomin kohdalla punainen huutomerkki, kun omaa kulutuskäyttäytymistäni mietin.

Korjaus 25.9. kello 11.29: Kyberturvallisuuskeskuksen haastateltavan nimi oli Jussi Eronen.

Lisäys 27.9. kello 10.34: Jutussa mainitut ulkomaalaisten sim-korttien avaamat takaportit on sittemmin korjattu.

Osion tuoreimmat

Luitko jo nämä?