T, 6.12.2022

Nuhkimiskahtlus: kliimakonverentsi ametlik äpp tahab õigusi osalejaid pealt kuulata

tehnika.postimees.ee
Nuhkimiskahtlus: kliimakonverentsi ametlik äpp tahab õigusi osalejaid pealt kuulata
Facebook Messenger LinkedIn Twitter
Comments
Ametlik kliimamuutuste konverentsi äpp COP27 küsib Androiditelefonilt nii palju lube ja õigusi, et nendega saaks taskus oleva mobiili kaudu isegi ümbrust pealt kuulata.
Ametlik kliimamuutuste konverentsi äpp COP27 küsib Androiditelefonilt nii palju lube ja õigusi, et nendega saaks taskus oleva mobiili kaudu isegi ümbrust pealt kuulata. Foto: ekraanipilt / google.com
  • Ka algaval Qatari jalgpalli maailmakarikaetapil tuleb kasutada kahtlaselt palju õigusi küsivaid äppe
  • COP27 äppi on raske telefonist maha installida

Egiptuses praegu toimuva kliimamuutuste konverentsi ametlik äpp COP27, mida osalejad üle maailma saavad kasutada ÜRO soovitusel ürituse uudiste lugemiseks ja oma päeva planeerimiseks, küsib installimisel ohtralt õigusi ja lube, millega saaks telefoni tegevusi põhjalikult jälgida kuni kõnede pealtkuulamiseni. See lubab muuhulgas nuhkida kasutaja sõnumite, piltide, asukoha ja kirjade sisu kohta ning annab õiguse ligipääsuks nii asukohale, mikrofonile kui kaamerale.

Kuna ÜRO kliimamuutuste konverentsil COP27 on kohal nii tippametnikud, poliitikud, riigijuhid, kliima-aktivistid kui ka Egiptuse enda opositsioonitegelased, siis on kõiki õigusi omav rakendus üliheaks spionaaživahendiks, arvavad turvaeksperdid. Lähemalt kirjutas sellest väljaanne The Guardian, kus avaldati ka Amnesty Internationali ekspertide arvamus, et rakendust saab edukalt kasutada põhjalikuks spioneerimiseks otse ohvrite enda seadmetest.

Kuna inimesed enamasti ei pikalt mõtle, millistele õigustele äpp täpselt luba küpsib ja vajutavad nõustumise nupule, ongi Egiptuse tarkvaraloojatel juurdepääs peaaegu kõigele, mis nutitelefonis toimub.

Androidirakendust on juba alla laaditud üle kümne tuhande korra.

Foto: ekraanipilt / google.com

Enne allalaadimist antakse ka teada, mis tüüpi andmeid kogutakse:

Foto: ekraanipilt / google.com

COP27 mobiilirakendus pakub lisaks uudistele ja ajakavadele ka kaarti kohale navigeerimiseks, bussiaegu, PCR testile registreerimist, kalendrit ja Egiptuse vaatamisväärsustega tutvumist.

Äpis on hulk funktsioone, mis nõuavad erinevaid kasutusõigusi, kuid e-kirjade, mikrofoni ja kaamera kasutamiseks pole neid vaja.
Äpis on hulk funktsioone, mis nõuavad erinevaid kasutusõigusi, kuid e-kirjade, mikrofoni ja kaamera kasutamiseks pole neid vaja. Foto: ekraanipilt / google.com

Amnesty International selgitas välja, et kui luba telefoni andmeid kasutada on antud, saadetakse äpist infot kahte serverisse, millest üks asub Egiptuses.

Human Rights Watchi esindaja ütles samuti The Guardianile, et nende meelest on äpp nagu avatud uks kasutaja andmete juurde.

Politico küsitles turvaeksperte ja need leidsid ühe eriti ohtliku loa, millega äpp saab jooksvalt nuhkida. Kolme eksperdi eraldi analüüsi kohaselt on Androidi tarkvaral luba kuulata rakenduse kaudu kasutajate vestlusi isegi siis, kui seade on puhkerežiimis. Kahe analüütiku sõnul suudab see äpp jälgida ka inimeste asukohta nutitelefoni sisseehitatud GPS-i ja isegi WiFi kaudu.

Rakenduse infost leiab, et see kogubki ametlikult andmeid «tehnilistel ja turvalisuse põhjustel». Mida tähendab andmete kogumine turvalisuse põhjustel, jääb arusaamatuks, kuid järgmine lause selgitab seda pisut: kolmandatele osapooltele lubatakse teavet mitte jagada, kuid erandiks on seadustest tulenevad olukorrad.

Äpi installi järel tervitab kasutajaid Egiptuse presidendi pilt ja kõne. Programmi loojaks on Egiptuse Kommunikatsiooniministeeriumi IT üksus MCIT.

Kasutajad ei saa lihtsalt keelduda kõigi õiguste andmisest

Postimees proovis rakendust ühe andmetest tühjendatud testtelefoniga. Google Play Protect, mis kontrollib äppide tausta, kuid ei saa siiski seda kontrollida, mida kogutud andmetega arendaja juures edasi tehakse, nimetas rakenduse ohutuks.

Sisse logides küsitakse päris põhjalikke andmeid kuni passinumbrini välja ja siis peale seda tahab äpp ka mõnesid õigusi:

Foto: ekraanipilt / COP27 äpp

Kui keelduda kõigest, siis rakendus jätkab küll tööd, kuid mõnesid teenuseid ei saa enam kasutada. 

Foto: ekraanipilt / telefoni seaded

Suurem probleem tuleb aga rakenduse maha installimisega, hoiatavad Human Rights Watchi spetsialistid. Lihtsalt deinstallides kaob küll COP27 ikoon ekraanilt, kuid rakendus ise jääb telefoni alles. Aitab vaid täielik tehaseseadetesse taastamine, justnagu hea spiooniprogrammi kõrvaldamisel. Mikko Hypponen muuseas hoiatas Postimehe lugejaid septembris, et parimatest spiooniprogrammidest vabanemiseks tuleks lisaks eel telefonil lasta aku nii tühjaks, et telefon lülitub välja ja alles siis saab nuhist lahti.

Samasugune kahtlus lasus äpi kaudu nuhkimises Pekingi olümpiamängude äpil My2022. Uurijad leidsid lisaks andmete kogumise funktsioonidele äpi juurest faili illegalwords.txt, milles sisaldusid Hiina valitsuse jaoks poliitiliselt tundlikud märksõnad või solvangud. Kas tsensuurinimekirja ka kuidagi rakendati või jälgiti, seda ei õnnestunud välja selgitada.

18. novembril Qataris algaval FIFA jalgpalli maailmakarikaetapil on samuti kasutusel kaks kahtlast äppi - Ehteraz, mida on vaja kohapeal Covid-19 kontrolliks ja Hayya, mis tagab digitaalselt pääsu staadionile. Mõlemad annavad Qatari valitsusele liiga suure juurdepääsu külaliste isiklikele andmetele, hoiatavad turvaeksperdid.

Märksõnad
Tagasi üles