Atkreipęs dėmesį į kai kuriuos paslaugos programėlės nustatymus, Lietuvos Nacionalinis kibernetinio saugumo centras pirmadienį paskelbė rekomendaciją nesinaudoti šia programėle.
Antradienį paskelbtoje Lrytas.lt dienos apklausoje „Ar reikėtų uždrausti pavėžėjimo paslaugas teikiančiai bendrovei „Yandex.Taxi“, kuri siejama su Rusijos valdžia, dirbti Lietuvoje?“, vienas populiariausių atsakymų pagal atsakiusiųjų skaičių yra „Niekaip nesuprantu, kokią grėsmę gali kelti taksi“.
Iš tiesų, kuo taksi verslas – tegul ir įkurtas šaliai nedraugiškos valstybės – gali pakenkti Lietuvai?
Panagrinėkime.
Nori labai daug
Na, visų pirma, šiais laikais taksi paslaugos – tai nebe tik keleivių pervežimas iš taško A į tašką B. Kadangi šiais laikais visa apskaita kompiuterizuota, į paslaugą teikiančios įmonės serverius nugula labai daugi informacijos: kas ir kada, nuo kur ir į kur dažniausiai važiuoja, kada užsakymų daugiausia, kur juda didžiausi srautai, koks lankomumas taške X (o X gali būti ir šaliai strategiškai svarbiose įmonėse, pradedant elektrine ir baigiant kokiu duomenų centru, iš kurio valdoma elektros energijos paskirstymas ar šviesoforų veikimas, jau nekalbant apie karinius objektus).
Žinoma, mums nedraugiška šalis šiuos duomenis – ar didelę dalį jų – ne taip jau sunkiai galėtų susirinkti ir iš antrinių šaltinių – „Google Maps“ ar panašių paslaugų. Tačiau vis tiek – įsileisdama „Yandex“, Lietuva įsileidžia į save potencialų toli gražu ne draugiškiausiai nusiteikusios valstybės duomenų rinkėją.
Tačiau didžiausia „Yandex“ problema – programėlė, per kurią ši paslauga yra teikiama. Jos reikalavimų sąrašas išties priverčia kraipyti galvą.
Nes jei galima visiškai objektyviai pateisinti, kodėl programėlė nori prieigos prie telefono GPS sistemos – nes pagal GPS koordinates šiais laikais išsikviečiamas taksi automobilis – ar net ir prieigos prie skambinimo galimybės – kad esant reikalui, galima būtų susiskambinti su vairuotoju, tarkim, pasikeitus keleivio paėmimo vietai – tai jau atskiras reikalavimas suteikti prieigą prie telefono mikrofono kaip tokiai paslaugai jau atrodo akivaizdžiai perteklinis.
R.Rainio teigimu, programėlės analizės metu pastebėta, kad „Yandex.Taxi“ veikimo metu išsiunčiami ir priimami išties dideli duomenų kiekiai. Bet duomenys šifruojami, todėl sužinoti, kas tiksliai yra siunčiama, nėra galimybių.
Blogiausi scenarijai
Ar labai sunku paleisti vartotojui nematomą algoritmą, kuris, iš programėlės sužinojęs, kad klientas vyksta į Seimą, iškart paleidžia garso įrašinėjimą per telefono mikrofoną ir laiko jį įjungtą, kol asmuo neišvyksta iš „karštojo taško“? Nacionalinio kibernetinio saugumo centro direktoriaus Ryčio Rainio nuomone, argumentų atmesti tokiam scenarijui nėra.
O dabar įsivaizduokite, kad „Yandex.Taxi“ išsikviečia Seimo narys, dirbantis Nacionalinio saugumo ir gynybos komitete, ir kaip tik vykstantis į šio komiteto posėdį parlamente.
Arba nereikia net parlamentaro. Studentas, dirbantis kokiu nors asistentu ar praktikantu „Lietuvos energijoje“, oro uoste ar eismo valdymo centre, ar dar dešimtyje kritinės infrastruktūros vietų – jis ar ji patys net nesuvoks, kad yra gyva „blakė“, transliuojanti svarbius duomenis tam, kam tikrai nereikėtų jų žinoti.
Tokį programėlės kūrėjų sprendimą – prieigą prie įrenginio mikrofono – ir to galimas pasekmes lrytas.lt paprašė pakomentuoti ir nepriklausomą ekspertą, „ESET Lithuania“ saugumo specialistą Ramūną Liubertą.
„Kam programėlės kūrėjui reikalinga telefono garso įrašymo funkcija, gali atsakyti tik pats kūrėjas. Jei programėlė nėra uždaryta ir veikia foniniame režime, tai ji gali savarankiškai veikti suteiktais leidimais. Šioje srityje „Google“ ėmėsi veiksmų ir planuoja būsimoje „Android P“ (Android 9.0) versijoje drausti foniniame režime veikiančioms programėlėms jungtis prie telefono mikrofono bei kameros, – teigia R.Liubertas. – Bet šiuo metu, jei programėlė veikia foniniame režime ir, tarkime, vartotojui atvykus į apibrėžtą vietą (esant įjungtai vietovės nustatymo funkcijai) be vartotojo žinios gali įsijungti mikrofonas (su sąlyga, kad suteiktas mikrofono naudojimo leidimas) ir įrašinėti garsą.“
Nemenka problema yra ir pačios operacinės sistemos. Štai „Android“ aplinkoje (pradedant 6.0, „Marshmallow“ versija) pirmą kartą paleidžiama programėlė atsiklaus, kokiems programėlės moduliams galima suteikti prieigą, o kuriems ne – tad galite programėlei leisti naudotis GPS, bet išjungti mikrofoną. Tuo tarpu „iOS“ aplinkoje to nėra, ir kokias prieigas naudoja programėlė, vartotojas gali sužinoti tik savo paties iniciatyva nuėjęs į telefono nustatymo meniu. Ką, pripažinkime, daro tik retas – ir jau įgudęs – vartotojas.
Kiek tai pavojinga?
„Įprastai programėlių kūrėjų surinkti duomenys yra bendro pobūdžio ir be analizės jie neturi didelės reikšmės. Tačiau tam tikros duomenų analizę atliekančios programos surinktais duomenimis gali įvairiausiais pjūviais vykdyti statistinę informaciją, tirti vartotojų įpročius ir pagal juos parinkti bei mobiliajame įrenginyje atvaizduoti trečiųjų šalių tikslinę informaciją“, – teigia R.Liubertas.
Jis primena ir liūdnai pagarsėjusią “Facebook” bylą, kai apie 50 mln. „Facebook“ tinkle paskyras turinčių piliečių duomenys galėjo būti panaudoti nuomonės formavimui.
O dabar įsivaizduokite – išskirtinė reklama (arba antireklama) „Yandex.Taxi“ programėlėje Lietuvos Seimo ar Prezidento rinkimuose, siūlanti ir palaikanti kažkam parankų kandidatą?
Nebe pirmas atvejis
Paklausti, ar tai pirmas toks atvejis ir nekelia jokių asociacijų su kokia kita kompanija ar kitu atveju, abu pašnekovai – tiek R.Rainys, tiek R.Liubertas – nurodė vieną ir tą pačią kompaniją.
„2017 m. gruodžio 20 d. Lietuvos Respublikos Vyriausybės pasitarime buvo konstatuota, kad programinė įranga „Kaspersky Lab“ kelia potencialią grėsmę šalies nacionaliniam saugumui ir ją naudojantys ypatingos svarbos informacinės infrastruktūros ir valstybės informacinių išteklių valdytojai privalėjo per 90 dienų pakeisti ją kita saugia programine įranga. Tiek „Yandex.Taxi“, tiek „Kaspersky Lab“ yra Rusijoje įsikūrusios IT kompanijos, o Lietuvos saugumo struktūros jau sprendžia klausimą, ar Yandex.Taxi programos naudojimas kelia grėsmę Lietuvos nacionaliniam saugumui“, – lrytas.lt sakė R.Liubertas.
Tuo tarpu paklaustas, ar Lietuvoje reikėtų uždrausti šią pavežėjimų paslaugą ir programėlę, R.Rainys teigė: „Remiantis ligšiol turimais duomenimis, mes nesiūlome nieko uždrausti. Lietuvos Nacionalinis kibernetinio saugumo centras tik rekomenduoja šia paslauga nesinaudoti dirbantiems kritinės infrastruktūros sferose, o taip pat piliečiams, besirūpinantiems savo duomenų saugumu“.
Kaip apsisaugoti
R.Rainio teigimu, programėlė funkcionuoja tol, kol ji yra įjungta arba veikia foniniame režime, tad jei vis dėlto nuspręsite naudotis „Yandex.Taxi“, pasibaigus kelionei rekomenduojama ją išjungti – taip duomenų nutekinimo rizika sumažės.
O ar programėlė gali užkrėsti ar kaip kitaip žalingai paveikti jūsų naudojamą įrenginį? Nacionalinio kibernetinio saugumo centro direktoriaus teigimu, jokių duomenų apie tai neturima, tad išinstaliavus programėlę, telefono saugumo lygis turėtų sugrįžti į pradinį.
Bet kuriuo atveju – lrytas.lt labai rekomenduoja nepatingėti ir peržiūrėti visų telefone turimų programėlių prieigas. Juk gali nutikti ir taip, kad pertekline informacija taškosi ir kitos programėlės – pavyzdžiui, GPS informacijos reikalauja… žibintuvėlio programėlė. Tokių atvejų yra pastebėta.
