VPN ei ole simsala pim -taikasana tietoturvaan – kaikkea muuta
Älypuhelimiin sorvattujen halpojen VPN-palvelujen kauppiaat eivät ole nostaneet sivuilleen tieteellistä, mittauksiin perustuvaa arviota heidän myymiensä tuotteiden suorituskyvystä. Kas kummaa, mistäs moinen?
Ideaalihan on, että virtuaalisessa erillisverkossa netinkäyttäjän ja VPN-palvelimen välinen yhteys salataan määrätyillä avaimilla, jolloin tietoliikenne liikkuu kuin putkessa täysin salattuna.
Androidille räätälöidyt VPN-palvelut huolettavat nyt australialaisen University of New South Walesin sekä amerikkalaisen Berkeleyn yliopiston tutkijoita. He löysivät Androidille kehitetyistä VPN-ratkaisuista paitsi erilaisia viruksia ja vakoiluohjelmistoja, myös monenmoisia haitta- ja mainostykittäjiä.
CSIROscopen sivuilla kerrotaan, että 238 tutkitusta VPN-palvelusovelluksesta vaatimattomasti 38 prosentissa oli mukana haittaohjelmia tai malware-paholaisia – vaikka tämän tietosuojatuotteen piti suojata Android-käyttis juuri näiltä uhkilta.
Apua!
Sovelluksista 18 prosenttia vuosi kuin seula. Niistä ei ollut mitään apua dataliikenteen salaamisessa. Löydökset todistavat, että Google Playssa on ollut kaupan pukki kaalimaanvartijaksi.
Eikä tässä kaikki. Peräti 80 prosenttia tutkitusta 238 VPN-palvelusovelluksista oli pyytänyt pääsyä arkaluontoisiksi luokiteltuihin käyttäjän tietoihin. Miksi?
Salauksen puute on jättimäinen turva-aukko, joka kertoo massiivisen kokoluokan tietoturva- ja yksityisyysongelmista, arvioidaan Kalifornian yliopistossa.
Näin. Näyttää kuitenkin siltä, että jotkut pahimmista rikollisten sovelluksista ehtivät myydä kymmeniä tuhansia latauksia, ennen kuin ne poistuivat vähin äänin Google Play -kaupasta. Tutkijat näet antoivat aineistonsa Googlen käyttöön. Silti esimerkiksi viiden miljoonan käyttäjän lataamaa Betternetiä ei poistettu, vaikka yliopistotutkimuksen mukaan se on neljänneksi pahin kyttäyssovellus.
Tämä taas saattaa viitata korruptioon tai jonkin sortin kynnysrahoihin.
Talouselämästä varsin tuttu touhua; säännöt eivät ole kaikille samat.
Palataan reaalimaailmaan.
Tietoturva-asiantuntija Petteri Järvinen uskoo puhelimen suurimmaksi riskiksi, että käyttäjä itse lataa maksullisena haitallisen ohjelman sovelluskaupasta. Tai vielä pahempaa, jostain sen ulkopuolelta.
Totta se on, vaikkei uskoisi, ja miksei olisi. Tietoturva-asiantuntijat yleensä puhuvat yhdellä suulla: tavallinen käyttäjä ei tarvitse älypuhelimeen erillistä tietoturvasovellusta tai palomuuria.
Järvinen myös sanoo yrittäneensä löytää Suomesta jonkun, joka olisi saanut Android-haittaohjelman puhelimeensa. Omien sanojensa mukaan, ”ei kukaan ole vielä sellaista ilmoittautunut”.
Nyt on ilmoittautunut, minulla on ollut virus, ja puhelimen käyttiksen oma suojaus on sen torpannut (raportin mukaan vieras yritti ottaa järjestelmän haltuunsa).
Androidin oma tutka tarvitsee vain aktivoida – se päivittyy automaattisesti.
Silti on olemassa ainakin yksi poikkeus: Android tunnistaa huonosti sen omilla työkaluilla tehtyjä haittaohjelmia.
Tosi asiassa haittaohjelmien tehtailu on ollut liian helppoa, ja ah aina niin epäeettistä kuin vain olla voi.
Google on säännöissään kieltänyt sovelluskehittäjiä käyttämästä hyväkseen vammaisten avuksi tarkoitettuja esteettömyystoimintoja.
Esteettömyystoimintoja on silti käytetty härskisti hyväksi useissa Android-haittaohjelmissa. Toiminnot ovat esimerkiksi yrittäneet kopioida ja kopioineet salasanoja tai luoneet automaattisesti täyttyviä tekstikenttiä. Dataa on haettu myös erinäisistä muista sovelluksista.
Nyt Google on terästäytynyt ja julkistanut sovelluskehittäjille työkaluja. Päämääränä on toteuttaa vastaavia toimintoja kuin vanhoilla esteettömyystoiminnoilla. Nämä luvalliset ratkaisut voivat toimia vasta uusimmassa Android Oreo -nimisessä käyttöjärjestelmässä, jossa on hallinnoitava tietoturvakeskus.
Hienous tosin löytyy vasta alle prosentista Android-puhelimia.
