Taloussanomat

Akuutti tietoturvakriisi voi ratkaista Androidin suunnan

21.3.2016 19:57 Uutiskommentti: Androidin Metaphor-kriisi nostattaa kysymyksiä suunnasta, johon käyttöjärjestelmä on menossa.

Saattaa olla, että viime viikolla julkistettu Metaphor-hyökkäystekniikka Androidia vastaan osoittautuu käyttöjärjestelmän suurimmaksi kriisiksi tähän asti. Miksi?

Kun israelilaiset osoittivat laajan Androidia vastaan tapahtuvan hyökkäyksen olevan mahdollista, he samalla antoivat piristysruiskeen lukemattomille hämäräkoodareille: Jos se noilta onnistui, käy se meiltäkin.

Nykytietojen mukaan verrattain turvallisen Android 6:n eli Marshmallow'n julkaisusta on yli puoli vuotta, mutta virallisten lukujen mukaan se löytyy vasta 2,3 prosentista Android-puhelimia.

Tämä ei tarkoita sitä, että 97,7 prosenttia Android-laitteista olisi haavoittuvia. Monet valmistajat ovat julkaisseet hyökkäyksen mahdollistavan Stagefright-aukon paikkaavan päivityksen.

Ja monet eivät ole. Miksi?

Siksi, että puhelinbisnes on äärimmäisen kilpailtu markkina. Katteet ovat pieniä, ja turvapäivitysten syytäminen jokaiselle puhelinmallille jälkikäteen maksaa aikaa, vaivaa ja ihmistyötunteja.

Jos puhelimia halutaan myydä halvalla, moiseen ei ole varaa. Puhelimen on oltava halpa, sillä kuten laitteen reilusta alkuperästäkään, useimmat eivät halua maksaa tietoturvasta – ainakaan ennen kuin vahinko on tapahtunut.

Kertakäyttöpuhelin vai vahva säätely?

F-Securen mukaan Android-puhelimet ovat nykymuodossaan kertaostoksia. Myös Android-leirin sisältä on kuulunut samanlaisia ääniä, sillä Samsung on sanonut suoraan haluavansa ihmisten vaihtavan puhelimia useammin.

Tämä avaa pari vaihtoehtoa: Android-leiri voi todella siirtyä kertakäyttöpuhelinkulttuuriin, jossa luuri vaihtuu vuoden tai parin välein ja vanha lentää romukoppaan.

Toinen vaihtoehto on, että joku riittävän vahva taho tulee väliin, ja pakottaa Android-valmistajat päivittämään puhelimiaan myyntikieltojen tai jättisakkojen uhalla.

Tällaisia tahoja ei ole kovin montaa. Yhdysvallat on sellainen, ehkä EU.

Vahvalla sääntelylläkin olisi seurauksia. Se lisäisi puhelinvalmistajien kustannuksia, johtaisi mahdolliseen pudotuspeliin heikosti kannattavassa bisneksessä sekä nostaisi takuuvarmasti puhelinten hintoja.

Lisäksi päivityspakon valvonta olisi hankalaa. Niiden julkaiseminen ei ole kiinni ainoastaan puhelinvalmistajista, vaan usein myös bisneksen kolmantena pyöränä toimivista operaattoreista. Vastuu katoaa helposti, ja syntipukkeja riittää, jos vaatimukset eivät täyttyisikään.

Joko siitä tietoturvasta halutaan maksaa?

Stagefright ja Metaphor ovat potentiaalisesti iso uhka, joka odottaa tapahtumistaan. Nähtäväksi jää, ovatko ne se iso katastrofi, joka pakottaa koko Android-ekosysteemin lajittelemaan palikkansa uudelleen. Aineksia siihen on.

Jos pahin skenaario toteutuu, puhelimet soittelevat itsekseen kalliisiin palvelunumeroihin, dropboxien ja googledrivejen tiedostot päätyvät panttivangeiksi tai jonnekin päin nettiä, ja lukematon määrä yhteystietoja, yksityiskeskusteluja ja vaikka mitä onkin koko maailman omaisuutta.

Todennäköisesti näin ei tapahdu. Voi olla, että verkkokonnat eivät hyökkäysmenetelmää keksi. Voi olla, että puhelimet päivittyvät ja kriisi on ohi.

Mutta jos se tapahtuu, niin sen jälkeen ihmiset ovat valmiita maksamaan myös tietoturvasta puhelimessaan.

Jutun kirjoitti: Henrik Kärkkäinen

Henrik Kärkkäinen

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (20)

Sivut: 1 2
EdellinenSeuraava

Anonyymi
Niin... Tai sitten Androidia olisi syytä ruveta jakamaan, kuten mitä tahansa Linux-distroa eli levykuvat viralliselle sivustolle, niin selkeät asennusohjeet, että ei-niin-tietotekniikka-ihmiset saavat asennettua päivitykset itse tai automaattinen asennusohjelma kaikille suurille desktop-alustoille ja play-kauppaan, joka hoitaa työn heidän puolestaan. Jos ei ilmaiseksi niin pientä maksua vastaan. Päivittäminen loppuu samassa vaiheessa, kuin PC-koneissa eli tehojen loppuessa paivitetään laite tai ostetaan uusi.
Anonyymi: näinkinVoiKäydä 21.3.2016 20:25

Anonyymi
En osta enään älypuhelinta, jos siihen ei saa tietoturvapäivityksiä koko käyttöajan. Lisäksi puhelimeen
pitää saada root- oikeudet oletuksena, jotta siihen voi tehdä muutoksia esim. poistaa niitä täyte- ja vakoiluohjelmia.
Anonyymi: fdgdfgdf 21.3.2016 20:32

Anonyymi
Vaikka älypuhelinten hinnat nousisivat 10%, niin se olisi silti pieni hinta siitä, että puhelimeen tulisi päivitykset kunnolla. Nykyinen päivitysmalli on kertakaikkiaan onneton. Android-puhelimiin tulee päivityksiä vain hieman paremmin kuin Windows XP:hen.
Anonyymi: tietoturva_poju 21.3.2016 21:23

Anonyymi
En osta enään älypuhelinta, jos siihen ei saa tietoturvapäivityksiä koko käyttöajan. Lisäksi puhelimeen
pitää saada root- oikeudet oletuksena, jotta siihen voi tehdä muutoksia esim. poistaa niitä täyte- ja vakoiluohjelmia.


Tämä on periaatteessa mahdollista toteuttaa, koska Android on avoita lähdekoodia, vaikkakin Apache-lisenssi rajoittaakin enemmän, kuin perinteinen GPL-lisenssi. Tarvitsee vain hieman lisätä GNU/Linuxia, niin ohjelmiston, yleisten käytäntöjen, kuin arvojenkin puolesta. Niin ja täytyy hankkiutua eroon javasta.
Anonyymi: käySeNäinkin 21.3.2016 21:37

Anonyymi
En osta enään älypuhelinta, jos siihen ei saa tietoturvapäivityksiä koko käyttöajan. Lisäksi puhelimeen
pitää saada root- oikeudet oletuksena, jotta siihen voi tehdä muutoksia esim. poistaa niitä täyte- ja vakoiluohjelmia.

Tämä on periaatteessa mahdollista toteuttaa, koska Android on avoita lähdekoodia, vaikkakin Apache-lisenssi rajoittaakin enemmän, kuin perinteinen GPL-lisenssi. Tarvitsee vain hieman lisätä GNU/Linuxia, niin ohjelmiston, yleisten käytäntöjen, kuin arvojenkin puolesta. Niin ja täytyy hankkiutua eroon javasta.


Pieni korjaus: GPL sisältää voimakkaan "copyleft"-lausekkeen, mikä Apache-lisenssistä puuttuu kokonaan. Kyllä se vaan GPL on se, joka rajoittaa huomattavasti enemmän. Käytännössä Androidia ei voi jaella GPL-lisenssin alaisuudessa, sillä viestintäviranomaiset kautta maailman kieltävät CDMA/GSM -radiopuolen ajureiden julkaisun. GPL pakottaisi myös niiden lähdekoodit julkisiksi. Apache on enemmänkin "tee mitä huvittaa" -tyyppinen lisenssi, yleensä se edellyttää vain tekijänoikeuksien haltijan nimen ilmoittamisen jaeltavan tuotteen tiedoissa.
Anonyymi: GPLSyöpä 21.3.2016 21:50

Anonyymi
"Ja monet eivät ole. Miksi?

Siksi, että puhelinbisnes on äärimmäisen kilpailtu markkina. Katteet ovat pieniä, ja turvapäivitysten syytäminen jokaiselle puhelinmallille jälkikäteen maksaa aikaa, vaivaa ja ihmistyötunteja."

Tuo on väärin.

Tuosta jo tiedetään vuodettujen sopimuksien mukaan että syypäänä on operaattorit ja valmistajat.
Valmistajat tekevät paikkaukset, mutta ne eivät jaa niitä ilman että operaattori maksaa valmistajalle per laite. Joten kuluttaja ei saa päivitystä.

Päivitykset jaetaan kolmeen ryhmään.

1) Kriittiset tietoturvapäivitykset
2) Korjauspäivitykset
3) Ominaisuuspäivitykset

Noista vain ensimmäinen on ilmainen, toinen on harkinnanvarainen mutta se tungetaan yleensä kolmannen mukaan jolloin ominaisuuspäivitys maksaisi, mutta sen mukana tulisi korjauspäivitykset sekä tietoturvapäivitykset.

Joten kuluttaja ei saa mitään koska valmistaja haluaa muodollista maksua kuten vaikkapa 2 euroa per laite. Joten operaattori pihtaa, kuluttaja ei näe eikä kuule.
Anonyymi: Juurikas 21.3.2016 23:04

Anonyymi
Just päivitin kaksi ja puoli vuotta sitten ostetun iPadin tänään julkistettuun uusimpaan käyttisversioon. Laite on vain parantunut uusien käyttisten myötä. Aivan loistavaa.

Ainakin pari major-versiota lienee vielä odotettavissa. Akkukin on edelleen loistokunnossa, 10-11 tuntia irtoaa kevyesti. Uutta laitetta voisi harkita 2017.

Saako 2013 julkistettuihin Android-tabletteihin enää mitään päivityksiä?

Ei taida 2014 julkistettuihinkaan saada enää mitään.

Android on tosiaan kertakäyttötuote, elektroniikkarihkamaa. Sääli sinänsä, koska periaatteessa Android on nykyään ihan hyvä, mutta nollakatteella tai jopa tappiolla operoivat kiinalaiset yms valmistajat eivät tietenkään välitä päivityksistä mitään.

Ostamalla halvan huasungin olet oman onnesi nojassa. Perävalotakuu.
Anonyymi: Tyytyväinennn 21.3.2016 23:23

Anonyymi
Tuosta jo tiedetään vuodettujen sopimuksien mukaan että syypäänä on operaattorit ja valmistajat.
Valmistajat tekevät paikkaukset, mutta ne eivät jaa niitä ilman että operaattori maksaa valmistajalle per laite. Joten kuluttaja ei saa päivitystä.

Päivitykset jaetaan kolmeen ryhmään.

1) Kriittiset tietoturvapäivitykset
2) Korjauspäivitykset
3) Ominaisuuspäivitykset

Noista vain ensimmäinen on ilmainen, toinen on harkinnanvarainen mutta se tungetaan yleensä kolmannen mukaan jolloin ominaisuuspäivitys maksaisi, mutta sen mukana tulisi korjauspäivitykset sekä tietoturvapäivitykset.

Joten kuluttaja ei saa mitään koska valmistaja haluaa muodollista maksua kuten vaikkapa 2 euroa per laite. Joten operaattori pihtaa, kuluttaja ei näe eikä kuule.


Miksi iPhonelle ja iPadille tulee päivityksiä neljä, viisikin vuotta?

Miksi operaattorin pitäisi maksaa valmistajalle? Sellaisen väitteen olen kyllä kuullut, että operaattorit jarruttavat, koska he haluavat varmistaa, että päivitys ei sotke mitään.

Miten muuten mikään teleoperaattori liittyisi vaikkapa tällaisen wifi-iPadin päivitykseen? Aivan niin, ei mitenkään. Päivitys tulee suoraan Applelta.

Mutta jälleen: miksi tämä päivityshomma ei ole Applelle ongelma?

Miksi päivityksiä saa puoli vuosikymmentä?

Totuus on se, että päivityksiä ei tule, koska henkitoreissaan kituvan Android-valmistajan ei kannata tehdä niitä kymmenille eri malleille. Eivät pysty vaikka haluaisivat.
Anonyymi: Tyytyväinennn 21.3.2016 23:36

Anonyymi
Pieni korjaus: GPL sisältää voimakkaan "copyleft"-lausekkeen, mikä Apache-lisenssistä puuttuu kokonaan. Kyllä se vaan GPL on se, joka rajoittaa huomattavasti enemmän. Käytännössä Androidia ei voi jaella GPL-lisenssin alaisuudessa, sillä viestintäviranomaiset kautta maailman kieltävät CDMA/GSM -radiopuolen ajureiden julkaisun. GPL pakottaisi myös niiden lähdekoodit julkisiksi. Apache on enemmänkin "tee mitä huvittaa" -tyyppinen lisenssi, yleensä se edellyttää vain tekijänoikeuksien haltijan nimen ilmoittamisen jaeltavan tuotteen tiedoissa.


Juu, mutta ei aivan. Ilmeisesti Linuxin kanssa voidaan käyttää myös suljettuja ajureita ja ytimen moduuleita, koska Androidissa on Linux-kernel, joka on julkaistu GPLv2:lla, eikä Linusilla ole muuta suunnitelmissa, mutta ainakin Samsungin radioajurit ovat ja luultavasti pysyvätkin suljettuina versioina ja itse käyttöjärjestelmän koodi on Apache-lisenssillä. Toisekseen Androidin lisenssissä on määritelty, millaista laitetta voidaan kutsua Androidiksi ja tästä syystä Androidin, ainakin lisenssin mukaan, tulee sisältää tietyt Googlen palvelut jotta sitä voidaan kutsua Androidiksi.
Anonyymi: tarkennusKorjaukseen 21.3.2016 23:59

Anonyymi
Ainakin GPLv3-lisenssi näyttäisi sallivan myös kaupallisen hyötymisen ohjelmistosta. Siis mikäli pikaisella selauksella Google Playn valikoimia katsoi ja tarkisti myytävän sovelluksen lisenssin. Oli nimittäin useampi muutaman euron GPLv3-aplikaatio myynnissä.
Anonyymi: LisääLisensseistä 22.3.2016 0:15
Sivut: 1 2
EdellinenSeuraava
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Uusimmat uutiset

Digiyesterday

2011

Viisi vuotta sitten

Nokia haastetaan taas patenttikäräjille

27.07.2011 Amerikkalainen teknologiayhtiö InterDigital syyttää matkapuhelinvalmistaja Nokiaa uusista patenttirikkomuksista Yhdysvalloissa.


2013

Kolme vuotta sitten

Piraattilataaminen romahti – tekijänoikeusjärjestöillä jo uusi kohde

27.07.2013 Tutkimusten mukaan piraattitiedostojen lataaminen on muutamassa vuodessa suorastaan romahtanut. Tekijänoikeusjärjestöjen mukaan syy on uusissa laillisissa ja laittomissa verkkopalveluissa.

.