Ohjelmien käyttöoikeudet: Tapaus QR

Käyttäjätietoja valuu mobiililaitteista maailmalle, missä vika? Vertailemme eri QR- ja viivakoodinlukuohjelmia sekä niiden vaatimia käyttöoikeuksia. Tulos voi olla monelle yllätys. Vertailua voi soveltaa myös muihin mobiiliohjelmiin.

QR-koodinlukija on ohjelma jolla voidaan lukea kaksiulotteisia (viiva)koodeja käyttämällä hyväksi mobiililaitteen kameraa. QR-koodi voi pitää sisällään internetosoitteen, jonka lukemalla käyttäjä pääsee suoraan nettisivuille ilman näppäilyjä. QR-koodilla voidaan jakaa henkilön yhteystiedot, se voi pitää sisällään kalenterimerkinnän tai tekstiä ja merkkejä. QR-koodi voi toimia juna-  tai elokuvalippuna. Vaikka se kehitettiin jo 20 vuotta sitten, on se yleistynyt vasta mobiililaitteiden vallankumous seurauksena.  Joka toisella suomalaisista on jo taskussaan älypuhelin, jolla voi lukea ja jakaa QR-koodeja.

Kävimme läpi seitsemän suosituinta Android-käyttöjärjestelmälle tehtyä QR-lukuohjelmaa. Pisteytimme ne käyttömukavuuden ja turvallisuuden mukaan. Käyttömukavuudessa otimme huomioon ohjelman helppokäyttöisyyden, vikasietoisuuden ja lisätoiminnot. Turvallisuudessa painotimme käyttäjän yksityisyyttä ja listasimme ohjelman vaatimia käyttöoikeuksia. Mukana on myös satunnaisesti valittu, vähemmän tunnettu Private QR -ohjelma.

Monet käyttäjät eivät tule ajatelleeksi miten paljon viattomilta näyttävät hyötyohjelmat ja pelit keräävät käyttäjästään tietoa (ks. Vakoileeko älypuhelin sinua). Monet tällaisista ohjelmista ovat päältä päin erinomaisia ja ne ovat saavuttaneet suuren käyttäjämäärän. Huolestuttavinta on se, että vertailussa eniten ladatut ohjelmat olivat myös turvattomimpia. Ohjelmat pyytävät asennuksen yhteydessä ylimääräisiä ja tarpeettomia käyttöoikeuksia, jotka vaarantavat laitteet tietoturvan.

Hiotulla käyttöliittymällä ja tähdillä houkutellaan hyväuskoisia ohjelman käyttäjiksi. Eihän miljoonia kertoja ladattu ohjelma voi olla vaarallinen?

Testimme paljasti, että ladatummissa ja helppokäyttöisimmissä ohjelmissa piilivät suurimmat tietoturvariskit:

OHJELMA LATAUKSET TEKIJÄ KÄYTTÖMUKAVUUS TIETOTURVALLISUUS ARVOSANA
Barcode Scanner 100 mil+ Zxing Team 2,8
QR Droid 10mil+ Droidla 2,8
QR Barcode Scanner 10mil+ WB Development 2,3
QR Code Reader 10mil+ Scan, inc 2,9
RedLaser Barcode & QR Scanner 5mil+ Ebay Mobile 2,1
Viivakoodi ja QR Scanner 1mil+ Pickwick Santa 2,1
QR Droid Private 1mil+ Droidla 3,8
Private QR 500+ Tikoware 3,6

Oletuksena ohjelma tarvitsee koodinlukuun vain oikeuden käyttää kameraa. Muilla käyttöoikeuksilla laajannetaan toimintoja tai kalastellaan käyttäjältä tietoja. Tähän moni ”ilmainen ohjelma” perustuukin – käyttäjä myy itseään tietämättään.

Testaamistamme ohjelmista miltei kaikki olivat helppokäyttöisiä ja tunnistivat viivakoodin lukusuunnasta riippumatta. Osassa koodeja pystyi lukemaan sarjana. Kätevimpiä lisätoimintoja olivat QR-koodin luku tiedostosta tai pitkän www-osoitteen muuttaminen lyhytosoitteeksi. Joka toisella ohjelmalla pystyi itse luomaan QR-koodeja, jolloin tietojenjako on laitteiden välillä helppoa.

Yhteenveto ohjelmien ominaisuuksista ja pyytämistä käyttöoikeuksista:

Ohjelma Barcode Scanner QR Droid QR Barcode Scanner
QR Code Reader
RedLaser  Barcode
Viivakoodi ja QR
QR Droid Private
Private QR
KÄYTTÖMUKAVUUS              
Selkeä käyttöliittymä x x x x x x
Vaivatonta käyttää x x x x x x
Automaattinen tarkennus ja luku x x x x x x x x
Yhtäjaksoinen useamman koodin luku x x x x x
Nopea luku (alle 2 sekuntia) x x x  x x
VIKASIETOISUUS
Skannaa väärinpäin x x x x x x x x
Skannaa alle 45-asteen kulmasta x x x x x x x
Lukee liikkeessä, sietää pientä tärinää x x x x x x x
Viivakoodin manuaalinen syöttö kirjoittamalla x x x
Lukuhistoria ja jakotoiminto x x x x x x
LISÄTOIMINNOT
Lue QR-koodi tiedostosta x x x x
Muunna pitkä www-osoite miniurliksi (vaatii netin)  x x
Lue QR-koodi nettiosoitteesta x  x x x x
Lue QR-koodi kontakteista, toisesta ohjelmasta tai tekstistä x  x x x
Hae lisätietoa skannatusta koodista eri verkkopalveluista x  x x  x
TIETOTURVALLISUUS
Näkee mihin muihin laitteisiin olet yhteydessä x  x x  x
Lukee tilisi, kontaktisi ja/tai viestit sekä sähköpostit  x x  x  x  x
Lukee verkkohistoriasi ja selaimen kirjamerkit  x  x  x  x
Lukee sijaintisi  x  x x
Voi vastaanottaa omatoimisesti etäpalvelimelta koodia  x x x
Voi muodostaa internetyhteyden.  x  x x  x x x x x
Voi soittaa puhelinnumeroihin ja lukea puhelinlokin.  x

Kaikki testin QR-lukijat kysyivät oletusasetuksilla skannauksen jälkeen mitä tehdään, esim. avataanko koodissa oleva internetlinkki, lisätäänkö koodin sisältämät yhteystieto mobiililaitteen yhteystietoihin jne. Ohjelman asennuksen yhteydessä kysymiä ylimääräisiä käyttöoikeuksia ei siis tarvittu. Laajojen käyttöoikeuksien tarvetta perustellaan yleensä ”paremmalla toimivuudella”. Taustalla näyttävät olevan muut syyt: ohjelman keräämiä tietoja joko myydään kaupalliselle taholle tai jokin kaupallinen taho on rahoittanut ilmaisohjelman tekemistä.

Monissa ohjelmissa pystyi määrittämään internetsivuston automaattiavauksen linkkiä luettaessa. Tällä voitetaan ajassa alle sekunti ja koska toiminto vaatii laajennettuja käyttöoikeuksia, annetaan samalla ohjelmalle oikeus mielivaltaisesti lukea, muokata tai poistaa laitteessa olevia tietoja.

Osa yllä mainituista käyttöoikeuksista on yksinkertaisesti räikeitä. Vaikka testin vähiten käyttöoikeuksia vaativaan joukkoon kuuluva QR Droid Private mainostaa itseään turvalliseksi, löytyy siitäkin porsaanreikä. Nimittäin erityisoikeus käyttää C2DM-palvelua (käyttöoikeus: c2dm.permission.RECEIVE). Tämä mahdollistaa tietojen pakottamisen palvelimelta päätelaitteelle. Toisinsanoen esim. ohjelman päivittämisen ja muuttamisen ilman käyttäjän lupaa. Kyse on lähinnä siitä että palvelua ON MAHDOLLISTA käyttää myös kyseenalaisiin tarkoitusperiin.

Viivakoodi ja QR Scanner (tekijä: Pickwick Santa) on todellinen peto. Sen lisäksi että ohjelma tarjoaa käynnistyksessä sekä käytön aikana popup-mainoksia, lukee se myös puhelimesi tilan ja identiteetin. Tähän kuuluu mm. puhelimen yksilöllinen IMEI-tunnus, malli, sarjanumero, puhelinnumero sekä soitetut numerot. Ohjelma voi soittaa maksullisiin numeroihin. Sitä kiinnostaa myös kenen kanssa olet kommunikoinut sähköpostitse sekä selaamasi internetsivut. Yhdelläkään QR-koodinlukijalla ei tarvitse olla tällaisia oikeuksia.

Jokainen mobiililaite on nykyään kiinni internetissä wlanin tai mobiililaajakaistan välityksellä. Tiedonsiirto on nopeaa ja käyttäjätiedot voivat hävitä sekunneissa mobiililaitteesta maailmalle. Kannattaakin varata hieman aikaa ohjelman käyttöoikeuksien selvittämiseeen ennen asennusta. Valitettavan harva näin tekee ja tämä näkyy suorastaan rikollisten ohjelmien suosiollisissa latauskerroissa. Ihmiset kun antavat ohjelmalle tähtiä ja arvosteluja käyttömukavuuden, ei tietoturvan perusteella.

Muistathan että autamme sinua tarvittaessa mobiililaitteesi räätälöinnissä ja suojaamisessa.