Puhelimessa tiivistyy digitalisaatiokehityksen syvin olemus: erilliset laitteet ovat muuttuneet ohjelmiksi ja palveluiksi, jotka ladataan sovelluskaupasta.

Puhelimessa on radio, television kaukosäädin, ilmapuntari, kartta, kompassi, kalenteri, mp3-soitin, televisio, kamera, kirjasto, lehtihylly, videonauhuri ja paljon, paljon muuta.

Nämä kaikki yhdessä taskussa! Vielä 20 vuotta sitten tällaista laitetta olisi pidetty puhtaana taikuutena.

Lue seuraavaksi: Näin tyhjennät vanhan puhelimen oikeasti, Kumpi on turvallisempi, wlan-yhteys vai mobiilidata? sekä Mitä tehdä, kun puhelin katoaa?

Ja taikuutta se on vielä tänäkin päivänä. Tavalliselle käyttäjälle älypuhelimen toiminnot ovat niin salaperäisiä, ettei niitä edes yritetä ymmärtää. Tiedot vain ilmestyvät ”jostain” ja siirtyvät ”jonnekin” ilman ihmiskäden kosketusta. Automaattisesti, langattomasti ja näkymättömästi.

Viimeistään tässä vaiheessa pitäisi herätä huoli tietojen turvallisuudesta. Toimiiko taikuus varmasti? Voiko joku kaapata puhelimeni, tietoni – ja koko elämäni?

Eihän taikuus vain muutu kiroukseksi?

Parempi tilanne kuin tietokoneissa

Aluksi hyvät uutiset: vaikka älypuhelinten tietoturvattomuudesta puhutaan paljon, käsitys on väärä. Monissa suhteissa älypuhelin on jopa pöytäkonetta turvallisempi.

Pöytäkoneet ja läppärit kehitettiin aikana, jolloin tietoliikenne rajoittui modeemiyhteyksiin ja tietoturvariskit olivat minimaalisia. Aikansa lapsina Windows, OS X ja Linux suunniteltiin itsenäisiksi ja sellaisiksi, että niihin voi ladata ohjelmia mistä tahansa.

Siitä lähtien haittaohjelmat, puutteelliset ajurit, yhteensopivuusongelmat ja laiteviat ovat kiusanneet tietokoneita ja niiden käyttäjiä.

Mobiilimaailmassa tilanne on paljon parempi, sillä pc-ongelmista saadut kokemukset otettiin huomioon alusta pitäen. Puhelimen käyttöjärjestelmä on suljettu ja sovellusten jakaminen yhdestä kaupasta parantaa turvallisuutta.

Itse laitteet ovat rajoitettuja, eikä niihin voi lisätä keskusmuistia tai vaihtaa kiintolevyä isompaan. Ajureita ei tarvita. Mitä vähemmän vaihtoehtoja ja laajennuksia, sitä parempi.

Viimeisen palan mobiiliturvallisuudesta muodostavat pilvipalvelut, jotka ovat kiinteä osa laitteita. Tiedostojen varmuuskopiointi ei pääse unohtumaan ja pilvestä on hyötyä myös kadonneen laitteen paikantamisessa ja tyhjentämisessä.

Tarkkana sovellusten kanssa

Valmistajan hallinnoima sovelluskauppa on keskeinen tekijä älypuhelimen turvallisuudessa. Ohjelmia ei voi ladata suoraan nettisivuilta eikä sähköpostissa tulevasta linkistä, mikä on yleinen Windows-virusten käyttämä kikka. Kaikki ohjelmat on asennettava sovelluskaupan kautta.

Kauppa pyrkii tarkistamaan jokaisen sovelluksen turvallisuuden. Se ei aina onnistu täydellisesti, mutta jos ohjelma havaitaan jälkikäteen haitalliseksi, sen jakelu on helppo keskeyttää. Ohjelma voidaan jopa poistaa automaattisesti puhelimista, joihin se on ehditty asentaa.

Muiden käyttäjien arviot sovelluksista lisäävät turvallisuutta, samoin tieto latausmääristä. Jos ohjelma X on saanut keskimäärin neljä tähteä, paljon kehuvia kommentteja ja sitä on ladattu yli miljoona kertaa, latauksen voi tehdä turvallisin mielin.

Ainakin tällainen ohjelma on parempi valinta kuin kilpaileva sovellus Y, jota on ladattu vasta tuhat kertaa ja jolla on vain kaksi tähteä.

Ohjelman maksullisuus on jonkinlainen tae luotettavuudesta, vaikka hinta olisi vain yhden euron. Ilmaisohjelmien on kerättävä tuloja mutkan kautta, jolloin houkutus urkintaan tai suoranaiseen haitantekoon kasvaa.

Apple avasi sovelluskaupan iPhoneaan varten vuonna 2007. Alkuvaiheen epäilyistä huolimatta se on osoittautunut loistavaksi niin ohjelmistobisneksen kuin tietoturvankin kannalta. Pelättyjä viruksia tai mobiilihaittaohjelmia on havaittu vain muutamia.

Mikään ei silti ole täydellistä. Elokuussa 2015 paljastui, että Kiinassa oli levitetty väärennettyä Xcode-ympäristöä, jota käytetään iPhone-sovellusten kehittämiseen.

Kun ohjelmoija käänsi koodinsa ajokelpoiseen muotoon ja lähetti sen App Store -sovelluskauppaan, XCode lisäsi mukaan troijalaisen, joka pystyi urkkimaan puhelimen käyttöä, leikepöydän sisältöä ja kaappaamaan salasanoja.

Viestintävirasto varoitti, että vaikka kyse oli lähinnä paikallisista, kiinalaisista iOS-ohjelmista, muutamia XcodeGhostin pilaamia ohjelmia oli havaittu käytössä myös Suomessa.

Asian paljastuttua Apple poisti saastuneet ohjelmat pikaisesti kaupastaan, eikä laajempaa vahinkoa ehtinyt tapahtua.

Sovellukset ovat selainta turvallisempia

Mobiilipalveluita käytetään appseilla eli palvelukohtaisilla sovelluksilla. Facebook, WhatsApp ja pankkipalvelut ladataan puhelimeen ohjelmina sen sijaan, että niitä käytettäisiin yleisellä selaimella. Tämäkin on tietoturvan näkökulmasta hyvä ratkaisu.

Pöytäkoneissa on mahdollista, että selaimeen tarttunut haittaohjelma urkkii pankkiyhteyden sisältöä ja lisää tilisiirroilla rahaa itselleen. Nimipalvelua manipuloimalla voi ohjata selaimen valesivustolle, joka kaappaa salasanat ja suorittaa niin sanotun man-in-the-middle-hyökkäyksen käyttäjän ja aidon pankin välissä.

Mobiilimaailmassa tällaiset temput ovat liki mahdottomia, sillä ohjelmat eivät pysty muuttamaan nettiasetuksia. Pankin oma sovellus on erittäin turvallinen, sillä pankin osoite on koodattu sen sisään pysyvästi.

Vielä yksi taso turvallisuuteen tulee siitä, ettei mobiililaitteisiin voi asentaa fyysistä näppäimistökaapparia, joka nuuskisi salasanat suoraan kirjoituksesta. Pc-koneissa tällainen on helppo kytkeä salaa tietokoneen ja näppäimistön väliseen liittimeen.

Ohjelmalliset näppäimistökaapparit ovat mahdollisia, mutta ne pitää asentaa paikallisesti. Netissä myydään uskottoman puolison tai epäluotettavan työntekijän urkkimiseen tarkoitettuja vakoiluohjelmia. Niiden asentaminen edellyttää, että tekijä saa uhrin puhelimen haltuunsa ja pystyy puuhailemaan sen kanssa kaikessa rauhassa.

Osa vakoiluohjelmista vaatii myös suojausten poistamista, jotta ne pääsevät käsiksi puheluihin, sijaintitietoihin ja näppäimistöön.

Liikaa oikeuksia?

Yleisin tapa saada haittaohjelma puhelimeen on huijata käyttäjä asentamaan se itse. Erityisen vaarallisiksi ovat osoittautuneet hittipelien maineella ratsastavat kopiot ja erilaiset apuohjelmat. Niissä voi olla piilotettuja toimintoja, jotka eivät ole paljastuneet sovelluskaupan tarkistuksissa.

Siksi on tärkeää, ettei puhelimeen asenneta yhtään turhaa tai epämääräisestä lähteestä tullutta sovellusta.

Yhtä tärkeää on säilyttää puhelimen omat suojaukset paikoillaan. Nörtit haluavat usein ottaa puhelimestaan kaiken irti ja päästä käsiksi varsinaiseen käyttöjärjestelmään, jolloin he pystyvät käyttämään puhelimen kaikkia teknisiä hienouksia.

Suojausten ohittamista kutsutaan Android-maailmassa roottaamiseksi, Apple-maailmassa jailbreakaamiseksi eli vankilasta murtautumiseksi.

Suojaverkkojen poiston jälkeen käyttäjä on omillaan ja joutuu itse vastaamaan tietoturvastaan, joten temppua ei suositella kuin todellisille asiantuntijoille. Tavallisten käyttäjien on parasta elää puhelimen asettamien rajoitusten kanssa.

Sen sijaan jokaisen tulisi kiinnittää huomiota sovellusten vaatimiin oikeuksiin. Miksi taskulamppuohjelma haluaa pääsyn puhelimen sijaintitietoihin? Miksi sosiaalisen median sovellus haluaa lukea osoitekirjaa ja pankkiohjelma käyttää kameraa?

Yleensä oikeuksille löytyy perustelut, kun perehtyy ohjelman toimintaan tai kysyy asiaa suoraan tekijältä. Esimerkiksi pankkiohjelma lukee paperilaskun viivakoodin kameralla, mikä säästää numeroiden näppäilyn vaivan.

Sen sijaan Androidin taskulamppusovellus Brightest Flashlight Free keräsi käyttäjän tunniste- ja sijaintietoja ilman mitään syytä, ja välitti niitä eteenpäin.

Siksi tarvittavien oikeuksien lista kannattaa aina lukea läpi ja miettiä, onko siinä jotain ylimääräistä.

Apple vs. Android

Apple-laitteissa sovellusten oikeuksia voi rajoittaa asennuksen jälkeenkin menemällä puhelimen tai tabletin asetuksiin. Android-laitteissa tarvittavat oikeudet listataan sovellusta ladattaessa, eikä käyttäjä voi muuta kuin hyväksyä kaikki tai keskeyttää asentamisen. Sama kaikki tai ei mitään -periaate on Windows Phone -puhelimissa.

Androidissa sovelluskohtainen rajoittaminen onnistuu vain roottaamalla puhelin ja asentamalla vaihtoehtoinen käyttöjärjestelmäversio, mikä ei tietenkään ole suositeltavaa tietoturvan kannalta.

Toiseksi uusin Android 6.0-versio (Marshmallow) tuo tähän parannuksen. Siinä oikeuksia voi rajoittaa yksi kerrallaan ja lupa niihin kysytään vasta, kun sovellus yrittää käyttää kyseistä ominaisuutta. Esimerkiksi oikeus kameran käyttöön myönnetään tai estetään vasta, kun ohjelma haluaa ottaa valokuvia.

Mikä alusta on turvallisin?

Android, iOS ja Windows ovat tärkeimmät mobiilialustat. Onko Applen iOS-käyttöjärjestelmä turvallisempi kuin Android? Entä miten sijoittuu Lumia-puhelimissa käytetty Microsoftin Windows Phone/Windows 10 Mobile -alusta muihin verrattuna?

Kaikissa järjestelmissä on omat heikkoutensa. Vaikka Applen iOS on teknisesti hyvin turvallinen, sen aiemmista versioista on löydetty bugeja, jotka voivat vaarantaa tietoturvaa. Ja kuten XCodeGhost osoitti, pelkkä käyttöjärjestelmän turvallisuus ei vielä riitä: koko ketju alkaen ohjelman kehittämisestä sen päätymiseen käyttäjän laitteeseen on varmistettava.

Windows Phone on Suomessa yleinen Nokia-historian vuoksi, mutta maailmalla se on niin harvinainen, ettei tietoturvasta tiedetä kovin paljon. Rosvoja kiinnostavat ensi sijassa ne alustat, joilla käyttäjien suuri massa on.Pitämällä huolta päivityksistä iPhone- ja iPad-laitteet säilyvät hyvin turvallisina. Toisaalta markkinoilla on paljon vanhempia iPhone- ja iPad-malleja, joita ei enää voi päivittää, ja niissä tietoturva ontuu.

Android on selvästi heikoin valinta, sillä järjestelmän avoimuus houkuttelee niin käyttäjiä kuin rosvojakin. Sovellukset pääsevät käsiksi puhelimen tekniikkaan muita alustoja laajemmin. Lisäksi jokaisella puhelinvalmistajalla on oma versionsa Googlen standardi-Androidista, eikä päivityksiä ole aina saatavilla.

Androidista on paljastunut useita käyttöjärjestelmätason haavoittuvuuksia. Yksi pahimmista oli ns. Stagefright-bugi, joka löydettiin heinäkuussa 2015. Kyse on Androidin sisäisen, videotiedostojen käsittelyyn liittyvän koodin turva-aukosta, jota voidaan hyödyntää esimerkiksi lähettämällä uhrille sopivasti manipuloitu mms-multimediaviesti.

Koska ominaisuus lisättiin Androidiin versiossa 2.2, haavoittuvuus löytyy sadoista miljoonista puhelimista. Google korjasi haavoittuvuuden nopeasti omista Nexus-puhelimistaan, mutta muiden valmistajien korjaukset ovat viipyneet pitkään. Kaikkien valmistajien puhelimiin korjausta ei ole edes saatavilla. Silloin kannattaa varmistaa, ettei multimediaviestien automaattinoutoa ole kytketty päälle.

Varo, mitä tietoja jaat

Tietoturvan kannalta järjestys on siten selvä: ensin tulee iOS ja kaukana perässä Android. Windows Phone säilyy kysymysmerkkinä niin kauan kunnes sen markkinaosuus kasvaa riittäväksi. Hiipuvasta suosiosta huolimatta Windows Phonen sovelluskaupasta on jo löydetty tarkistusseulan läpäisseitä huijausohjelmia kuten Tweetium Beta ja Madden NFL.

Olipa alusta mikä tahansa, kaikki älypuhelimet ovat alttiita nettihuijauksille ja salasanojen kalastelulle. Sähköpostihuijaukset ovat mobiilissa jopa helpompia kuin pöytäkoneella, jossa valheellisten linkkien oikea osoite näkyy viemällä hiiren osoitin hetkeksi linkin päälle. Puhelimessa tätä mahdollisuutta ei ole. Lisäksi pieni näyttö vaikeuttaa usein logojen, url-osoitteiden ja muiden kriittisten tietojen näkyvyyttä.

Älypuhelinten salakuuntelu suoraan ilmasta on vaikeaa vahvan salauksen vuoksi. Aina tähän ei silti voi luottaa. Vuoden 2014 lopussa uutisoitiin Tukholman ja Oslon keskustasta löytyneistä tukiasemista, joita mikään operaattori ei tunnustanut omikseen. Epäilyttäviä asemia havaittiin myös Helsingissä.

Tukiasemien omistajat jäivät arvoitukseksi, joskin valistunut arvaus viittasi kunkin maan omaan suojelupoliisiin. Joka tapauksessa kohun aikana Suomenkin poliisi muistutti, ettei kännykässä kannata käsitellä liikesalaisuuksia. Salakuuntelija ei enää istu luurit korvalla puhelinlankojen vieressä, vaan käyttää tietokoneita.

Siksi varovaisuus puhelimen käytössä on aina hyvästä, etenkin ulkomailla liikuttaessa. Siellä operaattorien ja viranomaisten (tai suurten yritysten) yhteistyö saattaa olla saumatonta ja ohittaa lain ikävät muodollisuudet.

Ei helpointa salasanaa

Ketjun heikoin lenkki on mobiililaite itse, sillä sovellukset ja käyttöjärjestelmä ovat hyvin turvallisia. Laite kulkee aina mukana, joten se saattaa unohtua taksiin tai kahvilaan. Suomen kesähelteillä moni on menettänyt laitteensa mökkijärvellä aaltojen syvyyksiin.

Arvokkaat älypuhelimet, etenkin iPhonet, ovat haluttuja varkaiden keskuudessa. Puhelimia on lähtenyt pitkäkyntisten matkaan esimerkiksi Helsingin lentokentältä, kun omistaja on ollut kahvilassa ja päästänyt laitteen hetkeksi silmistään.

Puhelimissa on valmiita turvakeinoja, jotka pitää itse ottaa käyttöön. Tutuin niistä on sim-kortin pin-koodi.

Koodi suojaa liittymää, ei itse puhelinta. Koodi sallii kaksi väärää yritystä, mutta lukitsee liittymän kolmannella. Näin estetään kalliiden ulkomaanpuheluiden tai datapalveluiden käyttö omistajan piikkiin.

Sikäli kun pin-suojaus toimii. Noin kolmasosalla suomalaisista koodina on nimittäin joko 0000 tai 1234, joista ei ole paljon hyötyä. Kolmas yleinen koodi on oma tai puolison syntymäaika, eikä sitäkään ole kovin vaikea selvittää sosiaalisesta mediasta.

Pin-koodin turvallisuus paranee käyttämällä pidempää koodia. Neljä on minimi, nykyiset sim-kortit sallivat jopa kahdeksan numeron käytön. Pitkä numerosarja on tietenkin työläämpi kirjoittaa, mutta sille ei voi mitään. Mukavuus kertaa turvallisuus on vakio, ja turvallisuutta parannettaessa mukavuudesta joutuu väkisinkin tinkimään.

Itse puhelimen lukitsemiseen on laitteesta riippuen monia keinoja. Pin-koodien ja salasanojen lisäksi Android-puhelimissa voidaan käyttää lukituskuviota, joka tosin näkyy kauas ja on helppo urkkia omistajan olkapään yli.

Joissakin Android-puhelimissa lukituksen voi avata kasvotunnistuksella, mutta sen huijaamiseen riittää usein omistajan valokuvan näyttäminen kameralle. Siksi kyse on lähinnä hupiominaisuudesta. Lumia 950 -puhelimissa käytetty silmän iiriksen tunnistava kamera on paljon turvallisempi.

Paras ratkaisu on sormenjälki, jota käyttävät uudet iPhonet ja eräät Android-puhelimet. Vaikka sormenjälkikin on kopioitavissa, se on hyvä kompromissi mukavuuden ja turvallisuuden välillä. Kun avaus onnistuu helposti sormella koskettamalla, automaattisen lukitusajan voi asettaa riittävän lyhyeksi, jolloin kokonaisturvallisuus paranee.

Sormenjälkeä ei ole tarkoitettu käytettäväksi ainoana lukitustapana. Applen laitteissa sormenjälki toimii vain, mikäli edellisestä käytöstä on alle kaksi vuorokautta. Sormenjäljen rinnalla on aina myös salasana, joten niistä ei pääse täysin eroon uudellakaan tekniikalla.

Numeeriset lukituskoodit ovat turvallisia, mutta eivät aukottomia. Koodi on helppo urkkia olan yli, kun uhri avaa puhelintaan. Ja ellei näyttöä pyyhi säännöllisesti, sormesta jäävät rasvajäljet paljastavat ainakin sen, mitä numeroita lukituskoodissa on.

Keväällä 2015 paljastui, että Applen nelinumeroisen koodin voi murtaa yksinkertaisella laitteella, joka kokeilee kaikki 10 000 eri vaihtoehtoa. Väärän numerosarjan jälkeen laite katkaisee puhelimesta sähkön, jolloin se ei ehdi rekisteröidä yritystä vaan sallii kokeilujen jatkamisen. Näin mikä tahansa lukituskoodi saadaan murrettua runsaassa sadassa tunnissa. Ei siis kannata tyytyä neljään numeroon, vaan käyttää pidempiä sarjoja.

Monet Android-puhelimet mahdollistavat muistitilan laajennuksen microsd-korteilla. Niiden sisältö kannattaa salata turvavalikosta löytyvällä asetuksella. Tällöin kortti säilyttää salaisuutensa, vaikka se siirrettäisiin puhelimesta toiseen.

Lue seuraavaksi: Näin tyhjennät vanhan puhelimen oikeasti, Kumpi on turvallisempi, wlan-yhteys vai mobiilidata? sekä Mitä tehdä, kun puhelin katoaa?