Hopeinen Omena

Skannasin Espanjassa QR-koodin, jolla piti nähdä ravintolan ruokalista. Siitä näkyi noin puolet, mutta sitten se jämähti. Klikkasin sivua ja kännykääni asentui tekstiviestiohjelma, jolla voi lähettää viestin ravintolalle. Tekstiruudun alla luki pienellä, että ohjelman käytöstä laskutetaan 5 € viikossa. En klikannut "jatka", eli en käyttänyt ohjelmaa. Mitään uusia sovelluksia ei näy ja poistin selaimen historian. Miten voin varmistaa, että laskuja ei ala tulla tai muuta haittaa?

Ellet antanut mitään laskutustietoja tai kuitannut tilausta käyttämään Ostosten AppleID:tä tai valtuuttanut laskuttamaan puhelinlaskulta niin tuskin mitään yllättävää seuraa.

Ostoksiin käyttämäsi AppleID:n vaoimassaolevat tilaukset voi tarkistaa puhelimesta kohdasta Asetukset -> AppleID,... -> Media ja ostot -> Tilaukset.

Kannattaa kuitenkin lukea tarkkaan puhelinlaskun erittelyt ja samoin seurata tarkkaan Applen lähettämiä ostotapahtumakuitteja.

No hyvä, jos näin on. Katsoin jo, että ei ole muita tilauksia Applelta, kuin iCloud tallennustila. Luottokorttitiedot on kyllä syötetty moneenkin sovellukseen.

Omalta osaltan olen välttänyt luottokorttitietojen talletusta mihinkään nettikauppaan tai sovellukseen pysyvästi. Yleensä niissä luvataan tietojen kertasyöttövaihtoehto.

Jo vuosia ole käyttänyt PayPalia maksutapana missä vain mahdollista, onnistuu Applenkin kaupoissa. PayPalissa on kaksivaiheinen tunnistus ja luottokorttitiedot ovat silloin vain yhdessä paikassa - ja sen käyttämät näytöt ja osoitteet oppii tunnistamaan roskapostikalastelujen varalta.

Tapahtuiko tämä nyt siis iPhonen kanssa?

Kirjoitit myös että "kännykkään asentui tekstiviestisovellus" mutta heti sen jälkeen "kännykästä ei löytynyt uusia sovelluksia"

Olisikohan tuo nyt vaan avannut selainikkunan jossa yritetty emuloida jotain mobiilisovelluksen näkymää. Ei näihin Applen laitteisiin saa pakkoasennettua mitään sovellusta App Storen ohi, ellei sitten kyseessä ole lottovoittoon rinnastettava upouusi haavoittuvuus joka mahdollistaa ohjelmien asennuksen sovelluskaupan ohi ja jota sitten hyväksikäytetään juuri sinun laitteessasi.

Noin se varmaan oli. Mitään asennettua sovellusta ei näkynyt, mutta eikös haittaohjelmat olekin piilotettuja?

Tietokoneissa kyllä, mutta ei nekään periaatteessa "asentamatta" asennu, eli käyttäjän on klikattava jotain tiedostoa jotta se haitallinen koodi ajetaan siinä laitteella.

Mobiililaitteissa ei ole mitään julkisesti tiedossa olevia porsaanreikiä joilla jotain ohjelmia saisi asennettua automaattisesti ohi sen sovelluskaupan ilman käyttäjän toimenpiteitä, niin Androidissa kuin iOS:säkin. Nuo nollapäivähaavoittuvuudet toki on mahdollisia, mutta hyvin epätodennäköisiä.

Haittaohjelma on hieman eri asia kuin vaikka roskapostin - tai QR-koodin - kautta päätyminen luottokortin tietoja tai pankkitunnuksia kalastelevalle ilkeämieliselle sivustolle.

iPhoneen ja iPadiin ei pysty lataamaan haitattomia tai haittaohjelmia mistään muualta kuin Applen AppStoresta. iPhonen/iOS:n alkuaikoina oli liikkeellä menetelmiä, joilla käyttäjä pystyi tämän suojan murtamaan ('jailbreak') ja sen jälkeen asentamaan laitteeseen ohjelmia muutakin kautta. Verkon kautta tai muutoin etänä tämä 'jailbreak' ei ole ollut koskaan mahdollista.

Haittaaohjelma pitäisi siis ensinnä saada AppStoreen, jonne ei ole muuta tietä kuin Applen tarkastus- ja testauskäytäntöjen kautta.

Teoreettinen mahdollisuus jonkun haavoittuvuuden löytämiseen ja hyödyntämiseen on jatkuvasti pienentynyt haavoittuvuuksien paljastuttua ja käyttöjärjestelmän perusosien pysyessä vakaina.

iPhonessa se iOS tai AppStore ei ole varmaan koskaan ollut se heikoin lenkki, käyttäjän toiminta ilkeämielisten sivustojen kanssa on se suurin riski hunosti suojatun puhelimen hukkaamisen ohella. Seuraavaksi tulevat sitten erilaisten verkkopalvelujen tietovuodot, jota kautta maksukorttitietoja, tunnuksia ja salasanoja pääsee vääriin käsiin. Kun tietoliikennen on valtaosin päästä päähän salattua, ei yhteyksien kuuntelullakaan päästä enää juuri mihinkään.

Käyttäjän varovaisuutta ja tietoisuutta pitäisi korostaa nykyistä enemmän. Ketjun aloittajalla tervettä varovaisuuttaa vaikuttaa kyllä olevan.

homenamsi kirjoitti: ↑21.3.2022 klo 11.01 iPhoneen ja iPadiin ei pysty lataamaan haitattomia tai haittaohjelmia mistään muualta kuin Applen AppStoresta.

Tämähän tulee mitä todennäköisimmin muuttumaan piankin EU:n uuden digilakipaketin myötä. Sideloading, eli softien asennus mistä huvittaa on todennäköisesti pakko sallia myös iPhonessa, koska on AppStoren syytä, että eurooppalaisia kuluttaja Big Tech-yrityksiä ei ole.

Tai näin siis byrokraatit kuvittelevat.

En ole varma saako varoitusdialogiakaan näyttää, tai edellyttää, että appin tekijä on silti tunnistettavissa allekirjoituksesta.

Onneksi iPhonessa ei ole mahdollista tehdä samanlaisia taustalla väijyviä sovelluksia kuin Androidissa, mutta eiköhän tuo silti avaa portit kaikenlaisille kalastelu- ja kusetussovelluksille myös iPhonessa.

Apple sallii kuitenkin sideloadingin macOS:ssä. Jos iOS ei vastaavaan turvatasoon pysty, suunnitelkoon parempaa. Itse itseään säätelevä ja kilpailuttava ala ei sekään ihan ongelmaton ole.
EU:n paketista on yksityiskohtia paljon auki ja käsittely vielä kesken. Vastaavaa lainsäädäntöä pyöritellään myös US:ssa.

Nähtäväksi jää millaiseen hiekkalaatikkoon tuo asennus muualta tulee olemaan sallittua. MacOS X/macOS:ssä moinen Sandbox on ollut jo pidempään ja arvatenkin osana macOS/iOS/iPadOS:n yhteistä Darwin-käyttöjärjestelmää.

Miten hiekkalaatikosta on sitten pääsy laitteen muihin resurseihin on avainkysymys, joihin säädöksillä ehkä voidaan yrittää vaikuttaa. Monet pelit varmaan viihtyisivät hiekkalaatikossa mutta en usko iCloud-palvelurajapintoja kovin helposti tulevan hiekkalaatikkoon.

Kai se hiekkalaatikko on jatkossa sama kuin nytkin, eli kaikkeen pitää kysyä käyttäjän lupa.

Mutta jos katsotaan kuinka moni on mennyt Suomessa Android-roskaohjelmia asentamaan, vaikka se vaatii (vielä) asetusten säätöä, niin katastrofihan tuosta tulee.

EU:n lakipaketti tulee näkymään kuluttajille UX-sekasotkuna ja kehityksen hidastumisena. Lain kirjoittajat lienevät 65-vuotiaita setiä, joille sihteerit tulostavat sähköpostit luettavaksi. Geopolitiikkaa pitkälti.

Hieman kärjistäen, Ranskassa on ”vasta” luovuttu Minitelistä ja Saksassa opetellaan luottokorttien käyttöä. Ei Big Tech ole siis mitenkään estänyt eurooppalaisia menestymästä, kyllä se syy löytyy pitkälti peiliin katsomalla.

Ehkä järjettömin lakipaketin osa on vaatimus siitä, että kaikkien pikaviestinten pitää olla keskenään yhteensopivia. Mitähän ongelmaa tuossa kuvitellaan ratkottavan? SMS on jo olemassa perusviestittelyyn.

Jotain Signalia käytetään nimittäin juuri siksi, täysin tietoisesti, kun sillä ei ole mitään yhteyttä WhatsAppiin.

E2E-salaus voi olla haasteellinen, ellei mahdoton, mikäli kaikkia ei pakoteta yhteiseen infraan ja protokollaan. Mutta yhteinen protokolla ei innovaatioita edistä, vaan estää niitä, kun kaikkea speksataan viisi vuotta sen sijaan tehtäisiin ne uudet ominaisuudet siihen omaan palveluun. Miksi käyttää Signalia, kun se ei tarjoa tuossa tilanteessa enää ainuttakaan syytä käyttää sitä?

Muistaakseni myös videopuhelujen pitää toimia jatkossa ristiin rastiin. Hauska nähdä miten Teams - Zoom - WhatsApp - Facetime -ryhmäpuhelu tulee toimimaan, ellei tuossakin pakoteta kaikkia samaan yhteisesti speksattuun protokollaan - eli tapetaan kehitys.

En ylläty, jos osa toimijoista sulkee palvelut EU:ssa. No, ehkäpä se avaa sitten portit esim. teleoperaattoreiden maksullisille (ja teknisesti surkeille) videopuheluille.

Noh, sinällään ei ole Signalin päänsärky, miten WhatsApp avaa palveluaan muille viestimille digimarkkina-asetuksen mukaisesti, eikä vaatimus ole tulossa edes voimaan ennen kuin e2e-salaus on varmistettu.

Totuus taitaa olla se, että vielä ei tiedetä miten epämääräistä asetusta pitäisi tulkita ja mitään lain seurauksia ja teknisiä seikkoja ei ole oikeasti kukaan teknisesti kyvykäs taho miettinyt. En ole nähnyt missään pykälää, että tulee voimaan vasta kun E2E on varmistettu. Lisäksi pikaviestimet ovat melkoinen päänsärky viranomisille, koska liikennettä ei voi seurata. Eli en ole lainkaan varma, että EU:ta lopulta edes kiinnostaa koko E2E.

Onko kukaan miettinyt esim. sitä mitä tapahtuu jos joku liittää WhatsApp-ryhmäkeskusteluun henkilön, joka käyttää WhatsApp-yhteensopivaa clientiä? Vaikkapa sitä Signalia. Tällöin ei enää päde ne ehdot, mitkä olen hyväksynyt Metan kanssa WhatsAppin käyttöönotossa. Koko keskustelu nimittäin valuu toiseen sovellukseen, jota en käytä, mahdollisesti myös toisen palvelun infran kautta.

Joku varoitusdialogi siis näytölle ja kaikkien osallistujien pitää hyväksyä myös toisen palvelun/appin käyttöehdot?

Entä jos joku ei suostu? Kuka poistetaan keskustelusta?

Entä jos käyttöehdot ovat ristiriitaiset palvelujen kesken?

Yksi tapa toteuttaa yhteensopivuus teknisesti voisi olla se, että esim. WhatsApp tarjoaa kirjastona simppelin WhatsApp-clientin, jonka voi upottaa toiseen sovellukseen.

Mutta se ei poista yllä kuvattuja ongelmia.

Oliko niin, että trilogin sopu pikaviestimien yhteensopivuuden sisällyttämisestä ehdollistettiin end-to-end:lle? Saatan olla hyvinkin väärässä, wouldn’t be a first. Itse säädös toki voimaan ilmankin. Yhtä kaikki ryhmächat on tulossa vasta myöhemmin.
Pj. Ranskan tavoite puristaa valmista kaudellaan taitaa olla yltiöoptimismia, avoimia yksityiskohtia riittää.
Ihan mielenkiinnosta, mistä kriittisyys? Tämän rinnalla valmistelussa digipalveluasetus, yhtä teilaavat ajatukset ?

Latasiko se haittaohjelman?

Saukkola kirjoitti: ↑10.4.2022 klo 18.08 Ihan mielenkiinnosta, mistä kriittisyys? Tämän rinnalla valmistelussa digipalveluasetus, yhtä teilaavat ajatukset ?

Kriittisyys siitä, että asetus on paljolti geopoliittisista lähtökohdista rakennettu ja sillä yritetään ratkoa ongelmia, jotka eivät ole varsinaisia ongelmia, mutta joiden ”ratkaisulla” voi olla todella typerät seuraukset - kuten E2E:n katoaminen. Tai aiheeseen liittyen malwaren levittämisen helpottaminen.

EU aikoo muuten valvonnan rahoittaakseen laskuttaa 0,1% vuotuisesta liikevoitosta sääntelyn kohteena olevilta yrityksiltä. Näppärää, eipähän mene puuhastelu sentään kansalaisten pussista…

(Ranskalaiset yrittivät aikanaan kehittää oman Googlen, koska heillä ottaa henkisesti koville jenkkien ja anglosaksisen kulttuurin ylivalta: https://en.wikipedia.org/wiki/Quaero . Projekti tietysti epäonnistui surkeasti.)

Lisäksi jos laki käytännössä estää ”omien” ominaisuuksien kehittämisen, niin eihän laki silloin edistä niitä asioita, joita se väittää edistävänsä.

Tuotekehitykseltä putoaa pohja, jos ei saa olla mitään omaa. Tuskinpa Applen ekosysteemin Universal Controlin kaltaisia juttuja katsotaan hyvällä jatkossa. Myös vaikkapa AirPodien kiva ”kansi auki ja näpäytä ok”-paritus voi olla kielletty - koska muut eivät voi sitä tehdä. Mutta tietysti muut voivat edelleen kilpailla hinnalla, äänenlaadulla, akunkestolla, designillä ja ties millä.

Mitä palveluihin tulee, niin oliko tässä nyt vaatimus, että kuluttajan pitää voida siirtää ”datansa” sosiaalisesta verkosta toiseen?

Kaunis ajatus, mutta käytännössä mahdoton, koska sosiaaliset verkot ovat niin erilaisia. Niiden on sallittu olla erilaisia. Toki jonkinlainen simppeli export/import on tehtävissä, mutta ei siitä paljoa iloa ole. Eikä esimerkiksi julkaisemaani kuvaan muiden lisäämiä kommentteja voi ilman jokaisen kommentoijan antamaa lupaa minnekään siirtää. Lisäksi käyttäjien matchaaminen eri palveluissa on vaikeaa, ellei mahdotonta. Ja niin edelleen. Turhaa puuhastelua.

Some-palveluja koskevia vaatimuksia en osaa oikein muuten kommentoida.

Paljon pikaviestimiä tähdellisempiä ongelmia liittyy sovelluskaupppoihin.

Ei ole perusteltavissa, että Apple ja Google ottavat 15-30% kaupassa tehdyistä maksuista, jos kilpailevat itse samanlaisella tuotteella, kuten vaikkapa musiikin striimauksella.

Mutta tuohan varmaan muuttuukin ja ratkaisuvaihtoehtoja on useita, hyviä ja huonoja. Saa nähdä mihin päätyvät.

Ok, ihan perusteltua kritiikkiä/kulmakarvan kohottelua. Lainvalmistelua on tehty jo vuosia ja sideloadingin ja e2e-salauksen haasteet on kyllä ymmärretty pölyttyneimmissäkin byrokraattikammioissa.

Missään tapauksessa ja millään muotoa ei ole tarkoitus ehkäistä tai estää ”omien” ominaisuuksien kehittäminen tai innovointi. Päinvastoin pyrkimys on lisätä pienten ja keskisuurten toimijoiden toimintamahdollisuuksien tilanteessa, jossa triljoonayhtiöt määrittävät markkinan toiminnan. Airpodien paritus tai universal control toimii kyllä jatkossakin, mutta Apple saattaa joutua avaamaan edes alkeellisesti mahdollisuuden muillekin. Enemmän avoimuutta, enemmän vaihtoehtoja kuluttajalle , lisää kilpailua, lisää innovaatiota.

Some-alustojen yhteentoimivuus taisi siirtyä hamaan tulevaisuuteen, ei makeaa mahan täydeltä

Vastaan itselleni alkuperäiseen kysymykseeni. Sama ongelma esiintyi myös Teneriffan bussiyhtiön QR-koodia avattaessa. Siitä epäilin, että vika ei olekaan QR-koodissa. Ja niinhän se olikin QR-koodin lukija-apissa, joka "sisältää mainoksia". Se on erikoista, että mainos ei ole putkahtanut näkyviin Suomessa. Vaihdoin lukijan sellaiseen, joka ei sisällä mainoksia ja ongelma hävisi.

t. Hanu

Miksi luet QR-koodin jonkun appin kautta?

Huutelenpa täältä sivusta. Eipä muuta mahdollisuutta ollut kun hankin nytkin käyttämäni iPhone SE:n - tai sen edeltäjiä. Tottumus on toinen luonto eikä sitä helposti opi uusia temppuja kun vanhakin konsti on - varsinkaan kun edes pussilliselle uusia ei luvata parempaa.