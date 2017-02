Tietoturva

Google upotti tammikuun lopussa ilmestyneeseen Chrome-selaimensa 56-versioon ominaisuuden, joka on tietoturvan kannalta kyseenalainen.Samalla, kun Chrome oppi paremmin varoittamaan suojaamattomista verkkosivuista, se myös päästää verkkosivut keräämään tietoa käyttäjien bluetooth-yhteyttä käyttävistä laitteista suoraan selaimen kautta.Käytännössä tämä tarkoittaa sitä, että verkkosivun ylläpitäjä voi pyytää sivuilleen saapuvan Chrome-surffaajan selaimelta tietoja siitä, mitä bluetooth-laitteita surffaajan läheisyydessä on.Ominaisuus on suunnattu kehittäjille, joiden on aikaisemmin pitänyt turvautua ulkopuolisiin sovelluksiin viestiäkseen bluetooth-laitteiden kanssa. Chromen tukema Web Bluetooth -ohjelmointirajapinta https://developers.google.com/web/updates/2015/07/interact-with-ble-devices-on-the-web päästää verkkosivut näkemään vaikkapa surffaajan kotona olevan bluetooth-yhteydellä varustetun jääkaapin ja olemaan yhteydessä sen kanssa. The Register https://www.theregister.co.uk/2017/02/05/chrome_56_quietly_added_bluetooth_snitch_api/ on muutoksesta huolissaan. Kyseessä on jälleen uusi tapa, jolla ulkopuoliset pääsevät keräämään tietoja verkonkäyttäjistä. Pelkona on, että tällä tavoin verkkosivut saavat kasattua valtavat määrät yksityisyyttä loukkaavia tietoja.Erikseen on epäselvää, miten suojassa kerätyt tiedot ovat. Vain https-salatuilla verkkosivuilla on tietoihin pääsy, mutta The Registerin mukaan Web Bluetooth -rajapinta ei määrittele sitä, miten verkkosivun omistajan tulee säilyttää dataa. Onko tässä siis tietomurtajien seuraava aarreaitta?Toisaalta kerättyjen tietojen joukossa ei ilmeisesti ole murtajien useimmin havittelemia tietoja kuten käyttäjätunnuksia ja salasanoja. Sen sijaan tiedot koskevat esimerkiksi laitetyyppejä, joissa bluetooth on päällä ja niiden valmistajaa. Esimerkkinä rajapinnan näkemistä tiedoista Google mainitsee akun lataustilanteen. Google antaa myös esimerkkikoodin tietojen keräämiseksi sykemittarista.Lisäksi, kuten The Register huomauttaa, käyttäjän tulee hyväksyä Chromen yhteys bluetooth-laitteisiin hiiren klikkauksella tai kosketusnäytön painalluksella. Historia on tosin osoittanut, että verkkokonnat oppivat nopeasti harhauttamaan ihmisiä klikkaamaan vaikka mitä.Epäselvää on, välittääkö Chrome tiedon näkemistään laitteista eteenpäin. Bluetooth-laitteet pystyvät nuuskimaan muita ympärillään olevia laitteita, ja listassa näkyvät laitteet, kuten ”Samsungin älytelevisio”, ”Liisan iPhone 7” ja ”LG:n älypesukone”, voivat olla arvokasta tietoa jollekulle.Web Bluetooth -rajapinnasta viime lokakuussa kirjoittanut tietoturvatutkija Lukasz Olejnik http://www.iltasanomat.fi/haku/?search-term=Lukasz%20Olejnik ei kuitenkaan ole lainkaan vakuuttunut, että pelkkä luvan pyytäminen on riittävä tae tietosuojasta.– Tieto, johon verkkosivuilla on pääsy, on usein hyvin arkaluonteista. Tämä data mahdollistaa käyttäjien profiloinnin ja heidän elämäntapansa, sukupuolensa jne. tunnistamisen. Verkkosivujen suunnittelijoiden, kehittäjien ja omistajien tulee olla tietoisia tästä. Ei ole vaikea kuvitella tilanteita, joissa tämä voi johtaa odottamattomiin yllätyksiin, Olejnik kirjoitti blogissaan https://blog.lukaszolejnik.com/w3c-web-bluetooth-api-privacy/