Arvio mobiililaitteiden turvallisuuden selvityksestä

Selvitys ja sen sisältö

Liettuan kyberturvallisuuskeskus (NCSC-LT) teki selvityksen koskien kolmen älypuhelinvalmistajan mobiililaitteita, ja julkaisi selvityksestä raportin 21.9.2021.

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus on tutustunut Liettuan kyberturvallisuuskeskuksen tekemän selvityksen raporttiin. Liettuan kyberturvallisuuskeskuksen julkaisemassa raportissa nousee neljä pääkohtaa:

1. Tutkituissa laitteissa voi olla oletusasetuksin käytössä kolmansien osapuolten sovelluskauppoja.
2. Tutkittujen laitteiden käyttöön liittyviä tietoja voidaan lähettää ETA-alueen ulkopuolelle. Näitä ovat raportin mukaan muiden muassa mihin verkkopalveluihin käyttäjä on kirjautunut, käytetty kieli, eri ohjelmistojen versiot ja tiedot laitteen eri toimintojen käyttöönotosta.
3. Tietyissä EU/ETA-alueen ulkopuolisissa maissa myytävissä laitteissa niiden mainosalustoilla voidaan tehdä mainoksien suodatusta valikoituihin asiasanoihin perustuen.
4. Tutkituissa laitteissa käyttäjän puhelinnumero saatetaan lähettää ETA-alueen ulkopuolelle ilman käyttäjän erillistä hyväksyntää.

Kyberturvallisuuskeskuksen arvio selvityksestä

Kyberturvallisuuskeskus on käynyt läpi Liettuan kyberturvallisuuskeskuksen tuottaman raportin ja todennut sen olevan pääosin sisällöllisesti paikkansa pitävä. Pääkohdista ensimmäisellä, eli kolmansien osapuolten verkkokaupoilla, voi olla kyberturvallisuuteen liittyviä vaikutuksia. Muiden pääkohtien huomiot kohdistuvat käyttäjän tietoihin ja niiden käsittelyyn. Erilaisten edellä kohdassa kaksi mainittujen käyttö- ja laitetietojen kerääminen ja lähettäminen valmistajalle on yleistä lähes kaikkien valmistajien laitteissa ja palveluissa. Raportin mukaan tietoa laitteen käytöstä voidaan kerätä käyttäjän antaessa suostumuksensa käyttötottumusohjelmaan (user experience program), jolloin tietoa voi siirtyä myös ETA-alueen ulkopuolelle.

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen oman teknisen selvityksen perusteella voimme vahvistaa, että yhdessä raportissa mainituista laitteista voi esiintyä asiasanojen perusteella tapahtuvaa suodatusta tiettyjen valmistajien omilla alustoilla, jotka on tarkoitettu mainossisältöjen esittämiseen. Laitteilla näytettäviä mainoksia voidaan suodattaa asiasanalistojen perusteella. Asiasanoissa on käytössä esimerkiksi aikuisviihteeseen, laitevalmistajiin, laitemalleihin, sovelluksiin ja kolmansiin maihin viittaavia sanoja. Selvityksessämme ei kuitenkaan ilmennyt, että asiasanalistoja olisi käytetty mihinkään muuhun, kuten selaimella tai sovelluksissa tehtyihin hakuihin.

Kolmansien osapuolten tarjoamat sovelluskaupat voivat olla mobiililaitteiden käyttäjälle tietoturvallisuuden näkökulmasta lisäriski, mikäli niihin voidaan ladata sovelluksia, joita laitevalmistajat eivät ole hyväksyneet omaan sovelluskauppaansa esimerkiksi tietoturvasyistä. Kyberturvallisuuskeskus suosittelee, että päätelaitteesta riippumatta sovellukset ladataan ensisijaisesti puhelinvalmistajan tai käyttöjärjestelmän valmistajan sovelluskaupasta. Teknisesti edistyneidenkin käyttäjien on tärkeää pyrkiä perehtymään sovelluksien maineeseen ja tietoturvallisuuteen ennen kuin lataavat niitä kolmansien osapuolten verkkokaupoista.