Hyppää pääsisältöön
Puhelimesi pakkolisukkeet
Puhelimesi pakkolisukkeet

MOT löysi Suomessa myytävistä Android-puhelimista muun muassa verkkokauppojen ohjelmia ja tietoa keräävän yhteystietopalvelun. Asiantuntijoiden mukaan esiasennetut ohjelmat voivat vaarantaa käyttäjän turvallisuuden.

Olet ostanut uuden Android-älypuhelimen. Käynnistät puhelimen, täppäilet läpi muutaman käyttöönottovaiheen, ja pian olet valmis jakamaan elämäsi valitut onnistumiset Facebookiin.

Puhelimessasi onkin jo valmiiksi Facebook. Ja näköjään muitakin ylimääräisiä ohjelmia. Nämä ohjelmat ovat valmiina yhdistämään sinut ulkomaisiin verkkokauppoihin ja yhteystietopalveluihin.

Nämä eivät ole ihan tavallisia sovelluksia. Ne tulevat puhelimesi käyttöjärjestelmän mukana, etkä voi poistaa niitä normaalisti. Kaikkia et edes näe.

Tervetuloa Androidin kylkiäisten maailmaan, missä sinä olet se myytävä tuote.

Mistä on kyse?

  • Android-puhelimissa on ulkopuolisten yhtiöiden esiasennettuja ohjelmia, joilla voi olla laaja pääsy puhelimen tietoihin.
  • Esiasennettuja ohjelmia ei yleensä voi poistaa kuten muita ohjelmia, koska ne ovat osa käyttöjärjestelmää.
  • MOT hankki ja tutki neljä Suomessa myynnissä olevaa alle 200 euron Android-puhelinta. Android-puhelimet ovat suosituimpia edullisia älypuhelimia.
  • Puhelin tutkittiin tavallisilla käyttäjäoikeuksilla. Laitetta ei kytketty verkkoon.
  • Tutkitut puhelimet olivat Huawei Y6, Nokia 3.1, Samsung Galaxy J6 ja Xiaomi Redmi 7.

MOT löysi uusista Huawein, Samsungin ja Xiaomin puhelimista sosiaalisen median palveluja kuten Facebook, Instagram ja LinkedIn. Laitteissa oli myös verkkokauppoihin liittyviä ohjelmia yhtiöiltä kuten Alibaba, Booking ja Ebay.

– Voi kysyä, miksi valmistaja on sisällyttänyt jonkin valmiiksi asennetun ja vaikeasti poistettavan ohjelman, mitä se tekee siinä sivussa, ja millaista lisäarvoa ohjelma tuottaa verrattuna sovelluskaupasta asennettavaan vastaavaan, sanoo Kyberturvallisuuskeskuksen osastopäällikkö Sauli Pahlman.

Se tiedetään, että ulkopuolisten ohjelmien avulla valmistaja saa katettua minkä tahansa Android-laitteen kuluja. Mitä halvempi laite, sitä suurempi on kumppanuuksien merkitys.

– Pelkästään matkapuhelimen vaatimat lisenssit maksavat sen verran, että hyvin huokean puhelimen kohdalla voi odottaa olevan mukana ilmaispalveluille tyypillisiä piirteitä ja ylimääräisiä sovelluksia tuomassa valmistajalle lisätuloa.

Esiasennetulla ohjelmalla voi olla poikkeuksellinen pääsy puhelimesi tietoihin.

Esiasennettu ohjelma on harvoin sama versio kuin se, jonka lataisit itse sovelluskaupasta. Et ole voinut samalla tavalla tutustua sen käyttäjäarvioihin ja ohjelman käyttämiin oikeuksiin. Se ei välttämättä näy kuvakkeena kuten tyypillinen sovellus.

Joudut hyväksymään ohjelman osana puhelimesi käyttöjärjestelmää.

Käyttöjärjestelmien ja ohjelmien kirjo on tehnyt ilmiön tutkimisesta vaikeaa. Tänä vuonna esiasennetuista ohjelmista julkaistiin tiettävästi ensimmäinen laaja tutkimus, jossa käytiin läpi 82 000 ohjelmaa yli 200 valmistajalta.

Tutkijoiden johtopäätös? Käyttäjiltä kerättävästä tiedosta on tullut hyödyke. Tämä yhdistettynä huolimattomaan sovelluskehitykseen ja läpinäkyvyyden puutteeseen voi asettaa käyttäjän turvallisuuden ja yksityisyyden vaakalaudalle.

Minkä yhtiöiden ohjelmia puhelimista löytyi?

Huawei Y6
Huawei Y6 MOT

Nokia 3.1
Nokia 3.1 MOT,ville juutilainen

Samsung Galaxy J6
Samsung Galaxy J6 MOT

Xiaomi Redmi 7
Xiaomi Redmi 7 MOT

Jokaisessa puhelimessa oli valmiina Androidin kehityksestä vastaavan Googlen sähköposti-, kartta ja videopalvelut.
Jokaisessa puhelimessa oli valmiina Androidin kehityksestä vastaavan Googlen sähköposti-, kartta ja videopalvelut. MOT,ville juutilainen

Kansainvälisessä tutkimuksessa havaittiin, että valmistajan yhteistyökumppaneiden ohjelmille annetaan poikkeuksellisen laaja pääsy puhelimen toimintoihin ja tietoihin. Näitä ovat esimerkiksi yhteystiedot sekä sähköposti- ja puhelutiedot, kuten niiden ajat ja vastaanottajat.

MOT:n selvityksessä Samsungin puhelimesta löytyi amerikkalaisen Hiya-yhtiön pyörittämä palvelu. Se lupaa auttaa löytämään lähistöltä uusia paikkoja, ja ottamaan niihin yhteyttä helposti.

Hiyalla on kansainvälisesti useita kumppanuuksia valmistajien ja operaattoreiden kanssa. Yhtiö mainostaa torjuvansa esimerkiksi huijauspuheluita.

Palvelun käyttöehtoihin linkitetyllä verkkosivulla on lavea suomenkielinen kuvaus tietojenkeruusta: "Nämä tiedot saattavat sisältää: tietoa, joka liittyy laitteesi kieliasetuksiin ja maa-asetuksiin, tietoa puheluistasi, hakusanoista sekä hakusijainnista." Englanninkielisessä versiossa kerrotaan, että se kerää myös ip-osoitetietoja.

Esiasennetuista ohjelmista voi olla vaikeaa päästä eroon.

Yhtiö ilmoittaa jakavansa tietoa Samsungin lisäksi myös edelleen kolmansille osapuolille. Yhtiön teksti on vanhentunut, sillä siinä viitataan eurooppalaisen tietosuoja-asetuksen mukaisiin muutoksiin tulossa olevana asiana. Tietosuoja-asetusta alettiin soveltaa viime vuoden toukokuussa.

MOT:n tekemässä analyysissä kävi ilmi, että Hiyan esiasennettu ohjelma sisälsi useita vakavia haavoittuvuuksia. Siinä oli muun muassa puutteellista salaustekniikkaa. Lukuisia vakavia haavoittuvuuksia löytyi myös esimerkiksi Bookingin ohjelmasta.

Puhelimet tutkittiin uusina, joten ohjelmiin on voinut sittemmin tulla päivityksiä, jotka korjaavat haavoittuvuudet.

Samsung Galaxy J6:n näkymä "Places".
Näin Samsungin puhelimessa Hiyan ohjelma tulee vastaan puhelutoiminnon välilehdellä. Käyttäjää pyydetään hyväksymään käyttöehdot. Samsung Galaxy J6:n näkymä "Places". Kuva: Riikka Kurki / Yle MOT,ville juutilainen

Esiasennetulla ohjelmalla voi olla aivan perusteltu syy saada laajat oikeudet. Mutta tutkimuksissa on havaittu, kuinka periaatteessa samalla tutulla sovelluksella voi olla puhelinmallista riippuen moninkertaiset oikeudet.

Entä se Facebook, jonka esiasennettuja ohjelmistoja löytyi kaikista paitsi Nokiasta?

Facebookin esiasennetuilla ohjelmilla on oikeudet muun muassa asentaa ja poistaa ohjelmia sekä puuttua muiden sovellusten toimintaan. Niillä on myös oikeuksia, joiden avulla on mahdollista saada tietoa muista ohjelmista. Oikeudet eivät kuitenkaan itsessään tarkoita, että ohjelma käyttäisi niitä.

Laajassa kansainvälisessä tutkimuksessa on kerrottu, kuinka Facebook on ladannut muita ohjelmia kuten Instagramin käyttäjän puhelimeen.

Facebookin sovellus on ollut muutenkin paljon julkisuudessa. Kesäkuussa Facebook lakkautti yhteistyön Huawein kanssa. Alkuvuodesta julkisuudessa kiisteltiin siitä, pääseekö käyttäjä Samsung-puhelimen Facebookista eroon, vai onko asiaa turhaan liioiteltu.

Jää käyttäjän tehtäväksi luottaa siihen, että käyttöjärjestelmään sisällytetty Facebook-ohjelmisto toimii reilusti.

Kysymykset laitevalmistajille

Laitevalmistajille laitettiin 17. lokakuuta tavallisten yhteydenottokanavien kautta, joko lomakkeen kautta tai sähköpostilla kolme kysymystä englanniksi:

Mitä esiasennettuja ohjelmia puhelimessa on normaalin Androidin lisäksi?

Miten huolehditte näiden esiasennettujen ohjelmien turvallisuudesta?

Mitkä yhtiöt ja minkä lainsäädännön piirissä voivat saada tietojani käyttäen näitä esiasennettuja ohjelmia?

Yhteydenotossa kerrottiin puhelimen malli, ostoaika ja maa.

Lisäksi valmistajilta pyydettiin kommenttia juttuun yhtiön viestinnän kautta. Lopulta vastauksia saatiin ennen jutun julkaisua vain Huaweilta.

Huawein viestintä toimitti tiedot, jotka koskevat Huawei Y6 -puhelimen uudempaa mallia, ei sitä mallia, jonka MOT tutki. Viestinnästä kerrottiin, että käyttäjä voi poistaa kaikki kolmannen osapuolen sovellukset, paitsi Googlen sovellukset.

"Huawei ei kerää esiasennetuista sovelluksista mitään. Käyttäjä hyväksyy käyttäjäehdot ja tietokäytännöt kirjautuessaan esiasennettuun ohjelmaan."

Yhtiö kommentoi myös esiasennettujen sovellusten tietoturvaa:

"Jo nykyisessä security update -järjestelmässä osa tietoturvapäivityksistä tulee suoraan Huaweilta, sillä osa käyttöjärjestelmän koodista on valmistajakohtaista, ja osa Googlelta. Mikäli kävisi niin, että Huawein mahdollisuus käyttää Android-käyttöjärjestelmää nykyisellä tavalla estettäisiin, niin haemme mahdolliset tietoturvapäivitykset avoimen Android-järjestelyn kautta ja puskemme ne itse laitteisiin. Tällöin Huawei ottaisi itse kokonaisvastuun järjestelmän päivityksestä. Asiakkaalle tämä ero tulisi kuitenkin olemaan käytännössä lähes näkymätön. Tietoturva on prioriteetti Huaweilla, emmekä tee sen suhteen kompromisseja. Pidämme huolen, että asiakkaillamme on turvalliset laitteet käytettävissään nyt ja jatkossa."

Samsung kommentoi asiaa jutun julkaisun jälkeen:

"Osa Samsung-laitteiden palveluiden sisällöstä tai toiminnasta on kolmannen osapuolen kumppanien toimittamaa. Esimerkiksi Hiya tarjoaa yhteistyössä Samsungin kanssa Paikat-palvelun, jonka avulla käyttäjä voi hakea hakusanoilla esimerkiksi lähimpiä vaatekauppoja. Kolmannet osapuolet saattavat kerätä tietoja käyttäjästä ja palvelun käytöstä palvelun mahdollistamiseksi. Paikat-palvelun kaltaiset palvelut eivät kuitenkaan ole oletuksena päällä, vaan ne pitää aktivoida käyttöehdot hyväksyen. Samsung ei hallinnoi näitä kolmansia osapuolia suoraan, joten se suosittelee käyttäjää tarkistamaan kolmansien osapuolten tietosuojakäytännöt ymmärtääkseen, miten nämä käyttävät käyttäjän tietoja."

MOT:n tutkimista puhelimista joukosta erottui eniten Nokia. Sen käyttöjärjestelmän mukana ei tullut samoja ulkopuolisia sovelluksia kuin muissa puhelimissa. Sen sijaan siinä oli puhtaasta Androidista poikkeavia ohjelmia, jotka vastasivat perustoiminnoista kuten virrankulutuksesta.

Nokian puhelimia valmistava HMD Global on ilmoittanut luopuvansa näistä Evenwell-ohjelmista, joiden takana on julkisuudessa olleiden tietojen mukaan kiinalainen FIH Mobile.

HMD Global on korostanut markkinoinnissaan Nokian puhdasta Android-versiota. Aiemmin on käynyt ilmi, kuinka eräs Nokia-puhelinmalli on välittänyt tietoja kiinalaiselle palvelimelle. HMD Global vastasi, että syynä oli Kiinassa myytäviin puhelimiin tarkoitettu ohjelmisto.

Kuvituskuva: paketti, jossa on kysymysmerkki.
Kuvituskuva: paketti, jossa on kysymysmerkki. MOT,ville juutilainen

Kuten puhelimet, myös ohjelmistot voivat tulla monista lähteistä. Kansainvälisessä tutkimuksessa esiasennetuista ohjelmista on löytynyt myös selkeitä haittaohjelmia.

Kyberturvallisuuskeskuksen osastopäällikön Sauli Pahlmanin mukaan valmistajakaan ei aina välttämättä tiedä tarkalleen, mitä ohjelma nyt tai päivittyessään tekee.

– Ei isoillakaan valmistajilla ole välttämättä niin vedenpitäviä prosesseja, että kaikki tulisi ilmi. Tiedot tulevat käyttäjien havaintojen kautta ilmi.

Kyberturvallisuuskeskus ei tutki Androidiin liittyviä uhkia itse säännöllisesti, vaan puuttuu asiaan lähinnä ilmoitusten ja kansainvälisten uutisten perusteella. Keskus ei ole julkaissut viime vuosina yhtään esiasennettuihin ohjelmiin liittyvää varoitusta.

Sen sijaan keskus voi esimerkiksi esittää kysymyksiä laitevalmistajalle, jos puhelin näyttää toimivan tavalla, joka vaarantaa esimerkiksi loppukäyttäjien tietoturvallisuuden tai oikeudet.

Käyttäjä on myös alttiimpi tietoturvaongelmille, jos valmistajan oma versio Androidista päivittyy pitkällä viiveellä. Läpinäkyvyyttä alalla kaipaa myös se, kuinka pitkäksi aikaa käyttöjärjestelmään saa päivityksiä.

– Tunnettu olemassa oleva brändi tarkoittaa suurempaa vaikutusta bisneksiin eikä yhtiötä voi vain perustaa uudella nimellä, jos tietoturvaongelmia tulee julkisuuteen. Tämä tuo käyttäjälle turvaa ja jatkuvuutta.

Kuvituskuva: paketti, jossa on kysymysmerkki.
Kuvituskuva: paketti, jossa on kysymysmerkki. MOT,ville juutilainen

Esiasennetuissa ohjelmissa voi olla käyttäjän näkökulmasta hyviäkin puolia. Osan ohjelmista käyttäjä voi olettaakin saavansa, kuten Googlen karttapalvelun. Kehittyvissä maissa käyttäjä voi saada tarpeellisen sovelluksen valmiina niin, ettei hän joudu maksamaan datansiirrosta.

Mutta jos niistä haluaa eroon? Verkossa alan harrastajat jakavat keskenään neuvoja siitä, miten puhelimensa saa puhdistettua. Keskustelujen perusteella poistoyrityksistä voi tosin seurata uusia vikoja, tai toisia epäilyttäviä ohjelmia.

Kuluttajan kannalta olisi hyödyllistä, että valmistaja ainakin kertoisi esiasennetuista ohjelmista asiakkailleen läpinäkyvästi. Esimerkiksi Samsung on joutunut kertomaan niistä tarkemmin Kiinan markkinoilla oikeusjutun jälkeen.

Jos ala ei muutu, paljon jää käyttäjien oman tarkkaavaisuuden varaan.

– Jos niin sanotusti pesuveden mukana puhelimessa tulee jotain, mikä on vaarallinen tai vuotaa käyttäjädataa, laajan harrastajayhteisön on myös mahdollista huomata se, Pahlman toteaa.

Kuvituskuva: paketti, jossa on kysymysmerkki.
Kuvituskuva: paketti, jossa on kysymysmerkki. MOT,ville juutilainen

Android-ekosysteemi

Android on käyttöjärjestelmä, joka pitää puhelimesi toiminnassa.

Kun Android-puhelin pistetään päälle, sen sisällä oleva mikroprosessori suorittaa omasta muististaan ensimmäisen ohjelman. Se alkaa tunnistaa laitteen muita osia ja etsii käynnistysohjelman. Tämä ohjelma puolestaan lataa joukon ohjelmia, jota kutsutaan Android-käyttöjärjestelmäksi. Sen ytimenä on Linux, joka keskustelee laitteen eri osien kanssa ja pyörittää ohjelmien prosesseja.

Näiden ohjelmien ansiosta laitteen prosessori ymmärtää maailman ja vaikkapa sormen hipaisusi nollien ja ykkösten laskutoimituksina.

Mitkä sitten ovat ylimääräisiä ohjelmia? Esiasennetuista ohjelmista on olemassa englanninkielinen termi "bloatware". Näitä on ollut vuosikymmeniä, ja esimerkiksi uuden tietokoneen mukana on tyypillisesti voinut tulla virustorjuntaohjelman kokeiluversio. Tällainen ohjelma ymmärrettävästi kerää uusia asiakkaita.

Android-älypuhelin poikkeaa tästä kahdella olennaisella tavalla.

Ensinnäkin älypuhelimesi on enemmän läsnä kaikessa mitä teet, ja se seuraa säännöllisesti esimerkiksi sijaintiasi. Puhelin tuottaa tietoa, joka on arvokasta.

Tämä tieto voi olla perinteistä tietoa mieltymyksistäsi mainostajalle, mutta sillä voi olla myös iso merkitys vaikkapa liiketoiminnassa: jos olisit sovellusta kehittävä yhtiö, haluaisitko tietää, onko jonkun kilpailijasi sovellus asennettu samaan puhelimeen kuin omasi?

Vaikka ohjelmalla ei olisikaan tällaista oikeutta, tietoja voi kerätä myös sivukautta, esimerkiksi ohjelmien käyttämän yhteisen tallennustilan kautta.

Toinen ero perinteisiin kaupanpäällisiin ohjelmiin on se, että Androidista voi periaatteessa kuka tahansa paketoida oman versionsa. Tuttuja ohjelmia saatetaan kääräistä pakettiin, josta vastaava yhtiö voi olla toiminnassa vain pari vuotta. Sillä ei ole brändiriskiä.

Kylkiäiset ovat läsnä myös Applen iOS-käyttöjärjestelmässä, mutta niiden takana on alustaa tiukemmin hallitseva Apple. Yhtiö mainostaa esimerkiksi omaa tilauspalveluaan musiikkisovelluksessaan. Applen omia sovelluksiakaan et pysty välttämättä poistamaan kokonaan. Aikoinaan ihmisten musiikkikirjastoon ilmestyi pyytämättä ja yllättäen U2:n levy.

Tutkimuslaitos Gartnerin mukaan viime vuonna myytiin yli 1,5 miljardia älypuhelinta. Näistä noin joka viides oli Samsungin puhelin. Applella ja Huaweilla oli kullakin noin 13 prosentin osuus.

Alaa seuraavat uskovat, että Google ottaa Androidista yhä vahvemman otteen tulevaisuudessa. 5G-verkkoteknologia ja yhä pienemmät älylaitteet tekevät jo pirstaloituneesta Androidista yhä vaikeamman kokonaisuuden tutkittavaksi.

Esiasennetut ohjelmat ovat nousseet viime aikoina myös kansainväliseen politiikkaan: kauppasota on vaikuttanut amerikkalaisen Googlen ja kiinalaisen Huawein asemaan.

MOT + Docventures
MOT + Docventures MOT,Docventures

30.10.2019: Juttuun lisätty Samsungin kommentti, joka toimitettiin jutun julkaisun jälkeen.

Toimittaja: Ville Juutilainen, Visuaalinen toteutus: Riikka Kurki, Tuottaja: Hanna Takala