Bluetoothin turvallinen käyttö älylaitteissa

Tietoturva Nyt!

Suomen korona-altistuksia jäljittävä sovellus auttaa katkaisemaan tartuntaketjuja ja hillitsemään viruksen leviämistä. Jäljittäminen perustuu Bluetooth Low Energy (BLE) -tekniikkaan: laitteet tunnistavat olevansa toisen laitteen lähellä BLE-signaalien voimakkuuden perusteella. Tässä artikkelissa korjaamme oletuksia ja vastaamme kysymyksiin, jotka liittyvät Bluetoothin käytön tietoturvariskeihin.

""

 

 

Onko BLE (Bluetooth Low Energy) sama asia kuin Bluetooth?

Bluetooth-nimellä tarkoitetaan yleensä kahta eri asiaa: Bluetooth Classic (BR/EDR) ja Bluetooth Low Energy (BLE). Molemmat ovat langattoman tiedonsiirron yhteyskäytäntöjä, mutta keskenään erilaisia. Koronavilkku-sovelluksen käyttämä BLE on kevyempi, pelkistetympi ja yksinkertaisempi tiedonsiirtotapa, joka kuluttaa myös huomattavasti vähemmän virtaa. Modernit älypuhelimet osaavat yleensä käyttää näitä molempia ja ne kytketään päälle samalla Bluetooth-asetuksella.

Onko Bluetoothin ja BLE:n käyttäminen esimerkiksi puhelimessani turvallisuusriski?

Ei varsinaisesti. Jos käyttämäsi laite ohjelmistoineen on päivitetty ja ajantasainen, tiedossa ei ole sellaisia ongelmia, joiden kautta puhelimeesi voisi tunkeutua tai anastaa tietojasi. Jos taas puhelimesi on vanha ja päivittämätön, Bluetoothin käyttö voi olla riski. Älä liitä laitettasi toiseen Bluetooth-laitteeseen, jota et tunne. Jos laite on niin sanotusti vihamielinen ja se pystyy käsittelemään tietojasi, sellaisessa tilanteessa mikään tietoturvapäivitys ei auta. Kun Bluetooth on päällä, jotkin älypuhelimet lähettävät itsestään ympärilleen tietoa, jossa kerrotaan puhelimen nimi, mutta harvemmin muita yksilöiviä tietoja. Noudata Bluetoothin käytössä ja asetuksissa oman organisaatiosi riskienhallinnan antamaa ohjeistusta.

Voiko Bluetooth-liikennettäni salakuunnella?

Salaamatonta signaalia voi kuunnella. Kantaman alueella, ilmassa kulkevia radiosignaaleja voi kuunnella kuka tahansa. Bluetooth-tekniikassa tämä on otettu huomioon eri turvallisuustekniikoilla, muiden muassa tiedonsiirron salauksella ja vaihtuvilla lähetysosoitteilla. Huomaa, että parhaat turvallisuusominaisuudet eivät ole käytössä  vanhemmissa oheislaitteissa. 

Jos puhelintasi ei ole yhdistetty Bluetooth-laitteeseen, se ei lähetä mitään sellaista tietoa tai signaalia, jota voisi salakuunnella. Esimerkiksi puhelussa käytyä keskustelua ei lähetetä Bluetoothilla, ellei puhelinta ole yhdistetty Bluetoothia käyttävään langattomaan laitteeseen. Sama pätee myös esimerkiksi puhelinluettelosi sisältöön, tekstiviesteihisi ja sijaintiisi. Lähes kaikki Bluetooth-laitteet käyttävät liikenteen salausta, mikä estää salakuuntelun.

Mitä tietoja Koronavilkun Bluetooth-kommunikaatiossa siirretään ja voiko sillä paljastaa jotakin, jota en halua paljastaa?

Puhelin lähettää ainoastaan satunnaisista numeroista koostuvaa seurantakoodia, joka vaihtuu säännöllisin välein. Puhelin ei lähetä mitään tietoja esimerkiksi käyttäjästään, puhelinnumerosta tai sijainnistaan. Koronavilkku-sovellusta käytettäessä myös Bluetoothin käyttämät osoitteet koostuvat satunnaisista numeroista ja vaihtuvat säännöllisin välein.

Voiko Bluetoothin kautta murtautua päätelaitteeseeni ja anastaa tietojani?

Tässä tapauksessa ei voi. Jos yhdistät puhelimesi sinulle tuntemattomaan Bluetooth-laitteeseen ja annat sille luvan käsitellä tietojasi, tällainen laite voi päästä käsiksi esimerkiksi puhelinluetteloosi tai tekstiviesteihisi. Muita tapoja tietojen anastamiseen Bluetoothin kautta ei tunneta.

Koronavilkku-sovelluksen käytössä puhelinta ei tarvitse yhdistää mihinkään Bluetooth-laitteeseen.

Tarvitseeko Bluetoothin käyttö sijaintitietoja?

Ei tarvitse. Osa BLT:n käyttämistä toiminnoista on kuitenkin luokiteltu sijaintipalveluiden joukkoon, joten Android-puhelimissa Koronavilkun käyttö vaatii, että Bluetooth ja sijaintipalvelut on kytketty päälle. Toiminnot eivät kuitenkaan seuraa tai tallenna puhelimen sijaintitietoja. Sovelluksen asennuksen yhteydessä käyttäjältä pyydetään suostumusta COVID-19-altistumisilmoitusten käyttöön. Annettu suostumus kytkee puhelimen Bluetoothin ja sijaintipalvelut päälle.

Applen iPhone-puhelimessa Koronavilkun käyttö vaatii, että Bluetooth on kytketty päälle. Sovelluksen asennuksen yhteydessä käyttäjältä pyydetään suostumusta COVID-19-altistumislokin ja -ilmoitusten käyttöön. Annettu suostumus kytkee puhelimen Bluetoothin päälle.

Lisätietoja