Tässä on tietoturvavinkkimme älypuhelinten ja tablet-tietokoneiden tietoturvasta. Moderni älypuhelinhan ei nykyään juuri eroa perinteisistä kannettavista mikroista tai pöytäkoneista.
- Älypuhelinten turvallisuus yleensä
- Vinkkejä kaikille älypuhelinten ja tablet-tietokoneiden käyttäjille
- Oikeuksien valuminen kolmannen osapuolen palveluihin
Älypuhelinten turvallisuus yleensä
Viestintäviraston Kyberturvallisuuskeskus on julkaissut esityksen älypuhelinten turvallisuudesta . Tässä jutussa tietoturvavastaava referoi tuota kalvosarjaa kommenttien kera. On huomattavaa, että aika monet noista riskeitä ja uhkatekijöistä on ”mutu”-tuntumaa, eikä kaikkia erityisesti älypuhelimiin kohdistuneita hyökkäyksiä ole tutkittu, tai välttämättä tunneta vielä kovin hyvin (jos vertailukohtana on perinteiset palvelimet ja tietokoneverkot). Lihavoidut otsakkeet ovat suoraa lainausta tuosta Kyberturvallisuuskeskuksen kalvosarjasta. Tämä kymmenen kohdan lista korostaa hienosti sitä, miten edistyneitä laitteita nuo älypuhelimet ja tablet-tietokoneet jo ovat.
- Älypuhelin on erittäin verkottunut, samaan tapaan kuin pöytäkoneetkin. Haittaohjelmat voivat liikennöidä ja olla yhteydessä ulkopuolisiin palveluihin kiinteästi ilman varastettavien tietojen välivarastointia. Haittaohjelmat voivat päivittää itse itseään verkosta. Monet älypuhelimien dataliittymät eivät enää käytä tiedonsiirtomäärään perustuvaa laskusta, jolloin paljonkin liikennöivät haittaohjelmat saattavat jäädä helposti huomaamatta.
- Älypuhelin on lastattu täyteen ympäristön aistimiseen tarkoitettuja sensoreita. Tämä mahdollistaa puhelimen paikannuksen, mikrofonilla nauhoittamisen, näppäimistön lukemisen, kameran käytön jne.
- Vuotava alusta. Tietoja tallentuu eri paikkoihin (”pilveen”). Joskus tietoja saattaa siirtyä salaamattomassa muodossa eri ohjelmistojen käyttämiin palvelimiin. Älypuhelinten varusohjelmat pyytävän käyttöjärjestelmältä aika usein liiallisia oikeuksia ohjelmiston asennusvaiheessa. Esimerkiksi miksi muistiinpano-ohjelma tarvitsisi tietoonsa puhelimeen tallennetut puhelinnumerot?
- Helppokäyttöisyyden kääntöpuoli tarkoittaa myös sitä, että vaikka käyttäjä olisikin valveutunut ja osaisi vaatia parempia suojausasetuksia puhelimesta, niitä ei välttämättä ole tarjolla. Sovellukset eivät aina vaivaa käyttäjää ”turhilla” yksityiskohdilla, joista kävisi ilmi onko esimerkiksi jonkinlainen salausmenetelmä käytössä. Todellisuudessa älypuhelimen käyttöjärjestelmä on monimutkainen kokonaisuus, jonka toiminta on onnistuttu piilottamaan näennäisesti yksinkertaisen käyttöliittymän taakse.
- Apuväline, ei ensisijainen työväline. Älypuhelinta tulee käsitellä kuin mitä tahansa kannettaa mikroa tai pöytäkonetta. Älypuhelimessa on oikein ja turvallisesti käytettynä potentiaalia tehostaa ja auttaa työnteossa.
- Keskitetty hallinta ontuu. Puhelinmalleja ja käyttöjärjestelmäversioita on niin monia, että keskitetty ”yksi koko sopii kaikille”-tyyppinen hallinta on vaikeaa. Puhelimet mielletään hyvin henkilökohtaisiksi työvälineiksi ja jokaisella käyttäjällä on omat mieltymyksensä.
- Järjestelmän kyky muokata itseään. Käyttäjät voivat yleensä säätää älypuhelimen asetuksia ja asentaa varusohjelmia itse. Tämä tuo mukanaan vastuuta ja puhelimen käyttäjän tulee tiedostaa mahdolliset tietoturvariskit mitä älypuhelimeen asennetuista epämääräisistä sovelluksista saattaa seurata.
- Päivitysten ja korjaustiedostojen jakelu ontuu. Useimmissa käytössä olevissa älypuhelimissa on käytössä (tietoturvamielessä) vanhat ohjelmistot. Esimerkiksi weppiselaimessa saattaa olla useita erilaisia hyvin tunnettuja heikkouksia, mikä mahdollistaa vahingolliselta weppisivulta haitallisen ohjelmakoodin asentamisen älypuhelimeen. Valmistajilla ei ole mielenkiintoa tukea älypuhelimen käyttöjärjestelmää ja varusohjelmia kovin pitkään. Pari-kolme vuotta vanha älypuhelin on jo ”ikivanha” ja sisältää erilaisia tietoturvaa(kin) koskeavia heikkouksia.
- Verkkotason suoja, onko sitä? Nykymenetelmillä A5-salausalgoritmeihin perustuvan GSM-salauksen purku täysin verkon ulkopuolisilta tahoilta ei onnistu reaaliajassa. Tyypillisesti matkapuhelinverkon sisällä liikkuva data on kuitenkin suojaamatonta. Kuten muussakin tietoliikenteen tietoturvassa, ollaan myös nyt toisen osapuolen tietoturvallisuuden varassa. Ei auta vaikka oman yhteyspään tietosuoja olisikin kunnossa, jos tietosuoja pettää verkkoyhteyden toisessa päässä tai matkalla.
- Mobiili luonnostaan. Älypuhelin on mukava työkalu koska se kulkee niin helposti mukana. Pieni koko tarkoittaa myös suurempaa hukkumis- tai varastamisriskiä.
Joitakin vinkkejä kaikille älypuhelinten ja tablet-tietokoneiden käyttäjille:
- Älä asenna tarpeettomia sovelluksia.
- Ota käyttöön SIM-kortin suojakoodi.
- Ota käyttöön automaattinen näppämistölukko, jolloin puhelinta ei voi käynnistää tai avata ilman salasanaa. Laita näppäimistölukko menemään päälle automaattisesti.
- Ota käyttöön tiedostojärjestelmän salaus sekä puhelimen muistille, että mahdolliselle lisämuistikortille (SD-card/SD-muistikortti). Jos puhelin joutuu hukkateille, tietoja ei saa salauksesta johtuen hyödynnettyä.
- Tuhoa vanhat ja tarpeettomaksi käyneet SD-muistikortit. Pelkkä SD-muistikortin tavallinen formatointi ei poista tietoja riittävän hyvin. Tietyissä tapauksissa myös puhelimen omasta massamuistista voidaan kaivella vanhoja tietoja.
- Älä luota pelkästään älypuhelimeen tai tabletiin kun tallennat tietoja. Muista varmuuskopiointi.
- Älä kytke puhelintasi kiinni epäluotettaviin tai tuntemattomiin tietokoneisiin (tämä koskee myös USB-latureita). Erityisesti ”debug”-tilassa olevat ohjelmistokehitykseen käytetyt Android-puhelimet ovat alttiita USB-hyökkäyksille.
- Jos lataat puhelinta tietokoneen USB-porttia käyttäen, kytke puhelimen tiedostojako pois käytöstä jolloin tietokoneessa mahdollinen haittaohjelma ei salaa tai varasta puhelimessa olevia tietoja.
Huomaa myös oikeuksien valuminen kolmannen osapuolen palveluihin
Jos kirjaudut Oamkin tunnuksella johonkin kolmannen osapuolen palveluun, niin selvitä ensin, mitä oikeuksia palvelulle on myönnettävä, että se toimisi. Karrikoiden, jos vaikkapa taskulamppu-ohjelma edellyttää pääsyä puhelimesi yhteystietoihin, niin älä ota ko. sovellusta käyttöön laisinkaan.
Mene osoitteeseen https://portal.office.com/account/#apps
Näet sivulla ne mobiilissovellukset, jotka on valmiiksi hyväksytty. Sivun alussa näet itse lisätyt, ja sieltä voit myös katsoa, mitä oikeuksia palvelulla on Oamkin käyttäjätiliisi.
Samalla tavalla näet puhelimesi asetuksissa mitä oikeuksia olet myöntänyt eri sovelluksille puhelimessasi. Esimerkiksi iPhonessa voit mennä asetuksien kautta tarkistamaan yksityisyysasetukset (Settings/Privacy) ja määritellä erikseen, mitkä sovellukset pääsevät käyttämään puhelimesi mokrofonia, kameraa, kuva-arkistoa, yhteystietoja, kalenteritietojasi ym.
Jos sallit jollekin sovellukselle pääsyn kuviisi, huomaa että kuvissa saattaa kulkea mukana muutakin, piilossa olevaa tietoa (kuvan metatiedot), eli esim. missä ja milloin kuva on otettu.