18. tammikuuta 2016

Turvallisia älypuhelimia ei ole


Olen kirjoittanut blogissani jo miltei 9 vuotta sitten matkapuhelinten tietoturvauhista ja kaikki mitä tuolloin sanoin, pätee valitettavasti yhä tänään. Muutama vuosi sitten kirjoitin myös Androidilla pyörivien älypuhelinten tietoturvasta ja sekin pitänee yhä melko hyvin paikkaansa. Paras kirjoitukseni aiheeseen lienee kuitenkin tämä:"Miten hakkeroida Facebook tai moni muukin juttu?". Mutta palataan tähän aihepiiriin nyt kunnolla, älypuhelimia kun löytyy jo miltei kaikilta ihmisiltä. 

Muutamia perusfaktoja siitä, miksi ko. puhelimet ovat ihan pirun epäturvallisia:


1) Toisin kuin PC:n käyttöjärjestelmä, etenkin Linux-pohjaiset, niin älypuhelimen "sisälle" et näe normaalisti sitten millään yhtään mitään. Kaikki "pyörii siellä jotenkin" ja ainoa, mitä näet, on asetukset. Todellisuudessa sinulla ei ole mitään takeita siitä, mitä siellä todellakin pyörii, kun sentään esimerkiksi Linuxissa voit sentään katsoa yksityiskohtaisesti, mitä siellä tapahtuu ja Windowsinkin ollessa kyseessä voit sentään selvitellä, mitä siellä pyörii Windowsin lisäksi.

2) Älypuhelimille on jo kasapäin haittaohjelmia ja tietoturva-aukkoja, joita voidaan hyväksikäyttää. Siinä missä PC:lle on virustentorjunta jo selviö ja usein ne jopa ovatkin varsin tehokkaita, on kaikenlainen haittaohjelmien torjunta täysin lapsenkengissään, mitä tulee älypuhelimiin (esim. tämä julkaisu on toki monta vuotta vanha, mutta kertoo karua kieltään asiasta). Melkoista osaa tehokkaista virustentorjunnoista et edes voisi käyttää älypuhelimessa, jos et olisi rootannut sitä ensin.

3) Etenkään Androidille ei ole saatavilla ajantasaisia päivityksiä ja tietoturvapaikkauksia. iPuhelin ja WindowsPuhelin sentään yleensä pysyvät kutakuinkin päivitettynä - teoriassa - käytännössä niihinkin päivityksiä tulee aika hissukseen jos lainkaan. Vertaappa tätä siihen, että Windowsiin tulee joka kuukausi lukuisia tietoturvapäivityksiä ja Linuxiin päivityksiä tulee jopa päivittäin.

4) Siinä missä PC voi vaarantua lähinnä joko nettiselaimesi kautta tai jos joku pääsee kävelemään fyysisesti sen luokse, niin älypuhelin voi vaarantua myös puolentusinaa muuta eri reittiä myöden: Bluetoothin kautta, NFC:n kautta, WLAN:n kautta, 2/3/4G kautta, teleoperaattorin kautta, tekstiviestien kautta, jne. Tartuntareittien määrä on valtaisa, jos vertaa perinteiseen, verkkojohdon päässä (ulkoisen palomuurin takana) istuvaan PC:hen.

5) Älypuhelin sisältää valtavan määrän tietoa, yleensä suorastaan kaiken tiedon, mitä sen omistajasta ja omistajalla on, eikä tätä tietoa ole yleensä suojattu vahvalla salauksella, monimutkaisilla salasanoilla tai fyysisellä turvalla. Se vain "on" siellä sellaisenaan, ehkä yksinkertaisen kuviotunnisteen tai pin-koodin takana, jonka voi helposti selvittää ja murtaa.

6) Hyökkääjän ei tarvitse kuin napata älypuhelimesi taskustasi tai kädestäsi ja kaikki tietosi, kyllä, aivan kaikki sähköposteistasi, salasanoistasi jne. lähtien on hänen hallussaan. Miten helposti onnistuu kotonasi lojuvan PC:n varastaminen? Ei takuulla yhtä helposti ja nopeasti. Lisäksi se perkele voi olla sammutettuna ja kryptattuna, toisin kuin älypuhelimesi.

7) Vaikka älypuhelimesi käyttöjärjestelmä olisi ajantasalla, asetukset säädetty kohdalleen, bluetoothit, wlanit jne. pois päältä, sekä koko hökötys salattu ja suojattu vahvalla tunnistautumisella ja voisit vieläpä luottaa täysin operaattoriisi, SILTI on yksi valtaisa tietoturvareikä auki nyt ja aina tulevaisuudessakin: Älypuhelimesi sisältää myös toisen käyttöjärjestelmän, joka on salainen, suljettu ja todennäköisesti ihan pirun reikäinen, eikä siihen ole nyt, eikä jatkossakaan mitä paikkauksia tiedossa. Sen hakkeroimalla kaikki puhelimesi turvatoiminnot voidaan kiertää täysin vaivattomasti, etkä voi sille yhtään mitään.

Itse en aio edelleenkään hankkia älypuhelinta mm. edellä mainituista syistä. Minulla riittää navigaattori autossa (ei verkkoliitäntää) ja puheluita ja tekstareita varten perinteinen 2G puhelin, jossa ei ole älyä hakkeroitavaksi. Niin ja se PC, jonka turvallisuudesta voin sentään kohtuullisesti mennä takuuseen.

3 kommenttia:

Anonyymi kirjoitti...

Mites tuo?

http://neo900.org

Markus Jansson kirjoitti...

> http://neo900.org

Ei käy tuokaan, koska:
We unfortunately cannot provide free baseband modem firmware, as there is no option available on the market which would be able to fulfil this requirement. Even if it existed, it would bring very little value to the users, as operating a radio device with modified firmware on public networks without recertification is prohibited in most jurisdictions of the world and privacy concerns in cellular networks are mostly related to what happens on the network side, not inside the device

Muutoinkaan en näe tuossa oikein mitään eroa Androidiin nähden.

toinen_ano kirjoitti...

Tuo baseband-homma on ihan samanlainen peruspuhelimissakin. Se on se osa, joka on yhteydessä kännykkäverkkoon. Eli jos sen tietoturva-aukkoja tai takaportteja pelkää, niin ei varmaan voi käyttää kännykkää ollenkaan.

Monet yksityisyydensuoja-aktivistit käyttävät jenkeissä tietääkseni vieläkin hakulaitteita juuri tällaisten asioiden takia. Valitettavasti Suomessa ei enää ole hakulaiteverkkoa.

Neo900:aan voi itse asentaa käyttöjärjestelmän kuten pöytäkoneeseen. Onpa ainakin se älypuhelinkäyttöjärjestelmä vapaa takaporteista ja kotiinsoitteluista. Päivityksetkin saa kun vain asentaa, toisin kuin useimpiin Android-puhelimiin.