Nuhkimiskahtlus: kliimakonverentsi ametlik äpp tahab õigusi osalejaid pealt kuulata

Kuna ÜRO kliimamuutuste konverentsil COP27 on kohal nii tippametnikud, poliitikud, riigijuhid, kliima-aktivistid kui ka Egiptuse enda opositsioonitegelased, siis on kõiki õigusi omav rakendus üliheaks spionaaživahendiks, arvavad turvaeksperdid. Lähemalt kirjutas sellest väljaanne The Guardian, kus avaldati ka Amnesty Internationali ekspertide arvamus, et rakendust saab edukalt kasutada põhjalikuks spioneerimiseks otse ohvrite enda seadmetest.

Kuna inimesed enamasti ei pikalt mõtle, millistele õigustele äpp täpselt luba küpsib ja vajutavad nõustumise nupule, ongi Egiptuse tarkvaraloojatel juurdepääs peaaegu kõigele, mis nutitelefonis toimub.

Androidirakendust on juba alla laaditud üle kümne tuhande korra.

Enne allalaadimist antakse ka teada, mis tüüpi andmeid kogutakse:

COP27 mobiilirakendus pakub lisaks uudistele ja ajakavadele ka kaarti kohale navigeerimiseks, bussiaegu, PCR testile registreerimist, kalendrit ja Egiptuse vaatamisväärsustega tutvumist.

Amnesty International selgitas välja, et kui luba telefoni andmeid kasutada on antud, saadetakse äpist infot kahte serverisse, millest üks asub Egiptuses.

Human Rights Watchi esindaja ütles samuti The Guardianile, et nende meelest on äpp nagu avatud uks kasutaja andmete juurde.

Politico küsitles turvaeksperte ja need leidsid ühe eriti ohtliku loa, millega äpp saab jooksvalt nuhkida. Kolme eksperdi eraldi analüüsi kohaselt on Androidi tarkvaral luba kuulata rakenduse kaudu kasutajate vestlusi isegi siis, kui seade on puhkerežiimis. Kahe analüütiku sõnul suudab see äpp jälgida ka inimeste asukohta nutitelefoni sisseehitatud GPS-i ja isegi WiFi kaudu.

Rakenduse infost leiab, et see kogubki ametlikult andmeid «tehnilistel ja turvalisuse põhjustel». Mida tähendab andmete kogumine turvalisuse põhjustel, jääb arusaamatuks, kuid järgmine lause selgitab seda pisut: kolmandatele osapooltele lubatakse teavet mitte jagada, kuid erandiks on seadustest tulenevad olukorrad.

Äpi installi järel tervitab kasutajaid Egiptuse presidendi pilt ja kõne. Programmi loojaks on Egiptuse Kommunikatsiooniministeeriumi IT üksus MCIT.

Kasutajad ei saa lihtsalt keelduda kõigi õiguste andmisest

Postimees proovis rakendust ühe andmetest tühjendatud testtelefoniga. Google Play Protect, mis kontrollib äppide tausta, kuid ei saa siiski seda kontrollida, mida kogutud andmetega arendaja juures edasi tehakse, nimetas rakenduse ohutuks.

Sisse logides küsitakse päris põhjalikke andmeid kuni passinumbrini välja ja siis peale seda tahab äpp ka mõnesid õigusi:

Kui keelduda kõigest, siis rakendus jätkab küll tööd, kuid mõnesid teenuseid ei saa enam kasutada. 

Suurem probleem tuleb aga rakenduse maha installimisega, hoiatavad Human Rights Watchi spetsialistid. Lihtsalt deinstallides kaob küll COP27 ikoon ekraanilt, kuid rakendus ise jääb telefoni alles. Aitab vaid täielik tehaseseadetesse taastamine, justnagu hea spiooniprogrammi kõrvaldamisel. Mikko Hypponen muuseas hoiatas Postimehe lugejaid septembris, et parimatest spiooniprogrammidest vabanemiseks tuleks lisaks eel telefonil lasta aku nii tühjaks, et telefon lülitub välja ja alles siis saab nuhist lahti.

Samasugune kahtlus lasus äpi kaudu nuhkimises Pekingi olümpiamängude äpil My2022. Uurijad leidsid lisaks andmete kogumise funktsioonidele äpi juurest faili illegalwords.txt, milles sisaldusid Hiina valitsuse jaoks poliitiliselt tundlikud märksõnad või solvangud. Kas tsensuurinimekirja ka kuidagi rakendati või jälgiti, seda ei õnnestunud välja selgitada.

18. novembril Qataris algaval FIFA jalgpalli maailmakarikaetapil on samuti kasutusel kaks kahtlast äppi - Ehteraz, mida on vaja kohapeal Covid-19 kontrolliks ja Hayya, mis tagab digitaalselt pääsu staadionile. Mõlemad annavad Qatari valitsusele liiga suure juurdepääsu külaliste isiklikele andmetele, hoiatavad turvaeksperdid.