Tuntuu siltä, että mobiililaitteeseen voidaan hyökätä loputtomasti eri tavoin. Kun mielessä pyörii pelottavia mielikuvia kavalista hakkereista, jotka hakkeroivat mobiililaitteemme tietoturvaa, unohtuu helposti, että yleisin tapa vaarantaa laite on loppukäyttäjän huolimaton toiminta. Yksi tällainen toiminta on riskialttiiden sovellusten sivulataaminen laitteeseen.

Mitä on sivulataaminen?

Sivulataaminen tarkoittaa mobiiliturvallisuuden yhteydessä sellaisen sovelluksen lisäämistä, jota laitteen käyttöjärjestelmän kehittäjä ei ole hyväksynyt. Kaikki App Storessa tai Google Play Storessa olevat sovellukset ovat kyseisten organisaatioiden tarkastamia. Vaikka sekä App- että Play-kaupoista (useammin Google Play -kaupasta) on löytynyt haitallisia sovelluksia, viralliset sovelluskaupat toimivat lisäsuodattimena, joka estää suurinta osaa haitallisista sovelluksista pääsemästä loppukäyttäjän ulottuville.
Sideloading mahdollistaa pääsyn sovelluksiin, joita ei ole saatavilla virallisissa sovelluskaupoissa jostain monista syistä. Muista lähteistä peräisin olevia sovelluksia ei ehkä ole seulottu tietoturvan kannalta, ja niillä saattaa olla haitallisia aikomuksia, mutta usein käyttäjät asentavat ne laitteeseensa ja avautuvat siten uhkille. Applen laitteiden tapauksessa tämä edellyttää usein (joskaan ei aina) laitteen jailbreakkausta.

Mitä eroa on jailbreakkauksella, rootauksella ja sideloadingilla?

Termi ”jailbreakkaus” voi koskea mitä tahansa mobiililaitetta, mutta yleensä sillä viitataan Applen laitteisiin. Apple pitää yllä korkeaa laiteturvallisuuden tasoa rajoittamalla kaikki laitteet sallimaan vain sen virallisesta App Storesta ladatut sovellukset. Jailbreaking on tapa kiertää tämä lisäämällä laitteen käyttöoikeuksia. Käyttäjät voivat edelleen käyttää kaikkia laitteen normaaleja toimintoja, mutta pystyvät asentamaan sovelluksia muista lähteistä kuin App Storesta.
Google ei lukitse Android-käyttöjärjestelmää yhtä paljon kuin Apple – vaikka oletuskonfiguraatio ei salli sivulataussovelluksia, on mahdollista muuttaa asetusta niin, että sovellukset sallitaan kolmansien osapuolten lähteistä. Tutkimuksemme osoittaa, että noin 20 prosentissa laitteista tämä asetus on käytössä. Tämä menetelmä vaikuttaa vähemmän riskialttiilta kuin jailbreakaus, mutta avaa laitteen uhkille aivan samalla tavalla.
Roottaus sekoitetaan usein jailbreakkauksen Android-versioksi. Vaikka juurruttaminen muistuttaa jailbreakingia siinä mielessä, että molemmat ovat etuoikeuksien laajentamista, juurruttaminen tarjoaa Android-käyttäjille paljon enemmän vapauksia. Niin kutsuttu rootaus, koska se tarjoaa pääkäyttäjän oikeudet laitteeseen, mahdollistaa paljon suuremmat, superkäyttäjän oikeudet, joten käyttäjät voivat tehdä rajuja muutoksia – aina laitteen käyttöjärjestelmän muuttamiseen asti.

Mitä sovelluksia työntekijäni sivulataavat?

Tutkimuksemme osoittaa, että yrityksen laitteisiin sivulatautuvia sovelluksia on hyvin monenlaisia, mutta pystyimme luokittelemaan viisi yleisimmin sivulatautuvaa sovellusta:

Tilaustyönä tehdyt yrityssovellukset

Tilaustyönä tehdyt sovellukset tarjoavat organisaatioille huomattavia hyötyjä, sillä niiden avulla IT-yksikkö voi räätälöidä sovelluksia vastaamaan yrityksen eri osastojen erityiskäyttötilanteita. Esimerkiksi eräs asiakkaamme rakensi ja otti käyttöön räätälöidyn sovelluksen, jonka avulla hoitohenkilökunta voi päivittää potilastietoja ja tilata reseptejä vuodeosastolta käsin, mikä minimoi hallinnointia ja lisää potilaiden kanssa vietettävää aikaa.
Räätälöityjen sovellusten käyttöönotossa yritysten on yleensä ohitettava viralliset sovelluskaupat, koska ne eivät halua saattaa sovelluksiaan laajasti yleisön saataville niiden sisältämien arkaluonteisten tietojen vuoksi. Esimerkiksi työntekijähakemiston HR-sovellus sisältää henkilökohtaisia tietoja henkilöstöstä, ja yrityksen sisäiset uutissovellukset sisältävät arkaluonteisia yritystietoja. On ymmärrettävää, miksi IT-osasto haluaa löytää toisen tavan saattaa nämä sovellukset käyttäjien saataville ilman, että monimutkaisuutta lisätään lisäämällä käyttäjän valtuutusta.

Mikä on riski?

Sovellusten sivulataaminen on tyypillisesti vaarallinen käytäntö, mutta tässä tapauksessa se on yleinen käytäntö ja suositeltava jakelutapa. Organisaatio voi taata, että kyseinen sovellus on suunniteltu ilman pahantahtoista tarkoitusta ja että se voi täyttää halutun turvallisuustason. Jos organisaatio antaisi laitteille jailbreak-menetelmän sovelluksen sallimiseksi, riskialttiita sovelluksia voitaisiin ladata ja asentaa, joten muita menetelmiä käytetään todennäköisemmin. Joko esiasentamalla varmenneprofiili, jolla mukautettu sovellus on allekirjoitettu, tai käyttämällä EMM-työkalua (Enterprise Mobility Management).
Yritykset, joilla on mukautettuja sovelluksia, ulkoistavat usein niiden kehittämisen kolmansille osapuolille. Ongelmana näissä kolmannen osapuolen kehittäjissä on se, että ne eivät ota käyttöön vankkaa tarkastuksen työnkulkua, jotta suorituskykyongelmat ja tietoturvaongelmat, kuten esimerkiksi turvattomat verkkoyhteydet, saataisiin kiinni. Wandera löysi hiljattain erään yrityksen räätälöidyn henkilöstöhallinnon koulutussovelluksen, joka ei suojannut kirjautuvien käyttäjien käyttäjätunnuksia ja salasanoja, jotka olivat samoja, joita he käyttivät kirjautuessaan yrityksen sähköpostitileille.
Vielä yksi huomioitava asia – nämä räätälöidyt sovellukset optimoidaan nykyiselle käyttöjärjestelmälle, joten kun Apple tai Android julkaisee käyttöjärjestelmäpäivityksen, osa sovelluksen toiminnallisuudesta saattaa katketa. Tämän vuoksi käyttöjärjestelmäpäivitysten käyttöönoton hallintaan tarkoitetun palvelun käyttäminen on hyödyllistä, jotta voidaan varmistaa, että mukautetut sovellukset toimivat jatkossakin optimaalisesti.
Riski – 1/5

Kolmannen osapuolen sovelluskaupat

Omenan App Store iOS:lle ja Googlen Play Store Androidille ovat mobiilisovellusten kaksi suurinta jakelukanavaa. Mutta on olemassa suuri paha maailma kolmansien osapuolten sovelluskauppoja ja sovelluksia, jotka ovat olemassa näiden kahden suuren toimijan ulkopuolella. Itse asiassa maailmassa on yli 300 sovelluskauppaa, ja määrä kasvaa jatkuvasti.
Tietojemme mukaan yksi suosituimmista kolmannen osapuolen sovelluksista yritysten iOS-laitteille on Tutuapp, alun perin kiinalainen sovelluskauppa, joka julkaisi englanninkielisen version vuonna 2017. Tutuapp tunnetaan siitä, että se isännöi muokattuja tai hakkeroituja versioita suosituista peleistä, mukaan lukien Pokemon Go -versio, jossa pelaajan ei tarvitse liikkua löytääkseen ja pyydystääkseen Pokemoneita. Tutuappissa isännöityjä sovelluksia ei ole tarkistettu tarkasti samalla tavalla kuin Google Playssa ja App Storessa olevia sovelluksia.
Androidissa kolmansien osapuolten sovelluskauppojen asentaminen ei ole yhtä yleistä, koska käyttäjä voi yksinkertaisesti käydä sovelluksen verkkosivustolla ja ladata sen suoraan selaimesta, kunhan asetus on kytketty sallimaan lataukset tuntemattomista lähteistä.
Siltikin nämä ovat kaksi suosituinta kolmannen osapuolen sovelluskauppaa, joista Android-käyttäjät lataavat sivulatauksia:

1. Aptoide
2. Amazon Appstore

Amazon hyväksyy kaikki sovellukset ennen niiden julkaisemista kaupassaan samaan tapaan kuin Apple – mikä viittaa siihen, että Amazonin Appstore itsessään on suhteellisen turvallinen. Aptoide sen sijaan ei ole yhtä luotettava.
Aptoidessa on kyllä virustarkistustoiminto (merkkinä kilpi-symboli sovelluskuvakkeen vieressä), mutta se julkaisee silti sovelluksia, joita ei ole tarkistettu, mikä avaa asiakkaat mahdollisille uhkille. Vaikka ei ole mitään viitteitä siitä, että Aptoide-sovellus itsessään sisältäisi haittaohjelmia, sen tarjoamat sovellukset voivat aiheuttaa uhan.

Mikä on riski?

Vaikka suurin osa kolmansien osapuolten sovelluskauppojen sovelluksista voi itsessään olla haittaohjelmia sisältämättömiä ja verrattain turvallisia, niiden mahdollistamat käyttäytymismuodot ovat paljon suurempi uhka. Voidaan turvallisesti olettaa, että kuka tahansa kolmannen osapuolen sovelluskauppaan sivulataava henkilö aikoo asentaa yhden tai useamman sen isännöimän sovelluksen. Koska suurin osa näistä sovelluskaupoista ei tee tiukkaa tietoturvatarkastusta tarjoamilleen sovelluksille, tämä voi tehdä laitteista, joihin ne on asennettu, erityisen alttiita uhkille.
Riski – 5/5

Pelit

Kustomoitujen sovellusten ja kolmannen osapuolen sovelluskauppojen jälkeen yleisin syy sovellusten sivulataamiseen on sellaisten pelien asentaminen, joita ei ole saatavilla virallisissa sovelluskaupoissa. Tietojemme mukaan 10 prosenttia työntekijöistä pelaa päivittäin yrityslaitteillaan.
Huomattavin esimerkki suositusta pelistä, joka on ladattava sivulatauksella, on Fortnite Androidille. Kun Epic Games teki päätöksen ohittaa Google Play -kauppa ja tarjota odotettua peliä vain oman verkkosivustonsa kautta, me (ja muut tietoturva-asiantuntijat) kerroimme nopeasti riskeistä, joita ovat muun muassa riskialttiiden kokoonpanojen normalisoituminen, väärennettyjen Fortnite-pelien levittäminen ja Fortnite-pohjaiset phishing-hyökkäykset.
Pian tämän jälkeen Googlen tietoturvaryhmä löysi haavoittuvuuspaikan Fortniten asennusohjelmasta. Laitteen muut sovellukset saattoivat käyttää sitä hyväkseen ja kaapata Epic Gamesin Fortnite-latauspyynnön ladatakseen salaa mitä tahansa muuta, kuten haitta- tai vakoiluohjelmia. Epicin kunniaksi on todettava, että haavoittuvuus korjattiin nopeasti.

Mitkä ovat riskit?

Työnantajat saattavat kokea, että pelien asentaminen yrityksen laitteisiin on tarpeeksi haitallista tuottavuudelle. Sivulataukseen ladattujen pelien tuoma potentiaalinen uhka on kuitenkin huomattava. Ilman Applen tai Googlen sovellusten seulonnan ylimääräistä turvakerrosta haavoittuvuudet ja haitallinen sisältö voivat jäädä huomaamatta, jolloin laite altistuu lukuisille uhkille. Jopa suuri pelijulkaisija Epic Games ei pystynyt takaamaan lippulaivansa mobiilijulkaisun turvallisuutta – ja ”varhaisten julkaisujen”, modattujen versioiden ja väärien ”oppaiden” ansiosta pelit ovat kypsä kohde niille, joilla on pahansuopia aikomuksia.
Riski – 4/5

”Ilmaiset” elokuvakatselijat

Datansiirtonopeuksien ja mobiilin internetin kattavuuden kasvaessa viime vuosina myös mobiililaitteiden käyttö elokuvien ja televisiolähetyksien suoratoistoon on lisääntynyt. On yleistä, että mobiilikäyttäjät suoratoistavat elokuvia kokonaan laitteillaan, joten sisältöä tarjoavien sovellusten määrä on kasvanut.
Legitiimien palveluiden, kuten Netflixin tai Amazon Prime Videon (sovellus, joka aiemmin ladattiin säännöllisesti sivulatauksena, kunnes se lisättiin Google Play Storeen vuonna 2017) ohella useita ilmaista elokuvien katselua tarjoavia sovelluksia ladataan säännöllisesti sivulatauksena yritysten laitteisiin. Suosituimmat näistä iOS:n sovelluksista ovat MovieBox ja CotoMovies (aiemmin Bobby Movie tai Bobby HD), ja 50 prosentilla yrityksistä on asennettuna vähintään toinen näistä kahdesta sovelluksesta. CotoMovies on esimerkki sivulataussovelluksesta, joka ei vaadi iPhonen jailbreaktausta – mutta käyttäjän on muutettava laitteen profiiliasetuksia, mikä voi tehdä siitä erityisen haavoittuvaisen hyökkäyksille.
Valitettavasti näihin sovelluksiin liittyy useita ongelmia – tärkeimpänä niistä on se, että nämä sovellukset piraatistavat laittomasti mainostamiaan elokuvia. Applen tai Googlen hyväksymät sovellukset eivät salli mitään laitonta toimintaa, mutta sivulataussovellusten kohdalla takeita ei ole.
Videon suoratoisto on erityisen dataintensiivistä, mikä voi johtaa mahdollisiin datan ylitysmaksuihin, jos sitä ei valvota. Tämä on vaarana kaikissa suoratoistosovelluksissa, myös laillisissa. Jotkin laittomat suoratoistosovellukset voivat kuitenkin tuoda mukanaan toisen dataongelman. Moviebox on vertaisverkkopalvelu, mikä tarkoittaa, että samalla kun käyttäjä lataa tiedostoa, hän myös lataa sitä – todennäköisesti tietämättään.

Mitkä ovat riskit?

Vapaisiin elokuvakatseluohjelmiin liittyy ensisilmäyksellä useita ongelmia. Ne ovat ehdottomasti riskialttiita mobiilin tietoturvan kannalta, mutta aiheuttavat myös ongelmia datan käytön ja tuottavuuden kannalta. Vielä pahempaa on se, että niiden käyttäminen elokuvien katseluun on osallistumista piratismiin – ei juuri sellaista, mitä halutaan tapahtuvan yrityksen laitteella.
Riski – 3/5

Kryptovaluuttamarkkinat

Viime vuosina kryptovaluutat, kuten bitcoin, ovat lähteneet nousuun. Kun ihmisistä on tullut miljonäärejä käytännössä yhdessä yössä, kaikki etsivät seuraavaa menestystä. Tämä on luonut markkinat, jotka ovat alttiit väärinkäytöksille – eikä vähiten siksi, että kryptovaluutat ja niiden kaupankäyntitavat ovat eloherkkiä.
Kryptovaluuttojen kaupankäyntisovelluksia on olemassa huomattava määrä, ja ne muodostavat viidenneksi yleisimmän sovelluskategorian, joka ladataan laitteisiin sivulatauksena. Yleisin iOS-laitteisiin sivuladattu kryptovaluuttasovellus on Binance.
Varmentamattomat rahoituskauppasovellukset ovat uskomattoman arvokkaita kohteita haitallisille toimijoille – niissä siirretään paljon taloudellisia tietoja, ja niissä on mahdollisuus huomattavaan voittoon (ja huomattaviin henkilökohtaisiin tappioihin huolimattomalle käyttäjälle). Näihin sovelluksiin kohdistuvat uhat voivat olla huolimattomien kehittäjien huomaamatta jättämiä haavoittuvuuksia tai sovelluksen väärennettyjä versioita, jotka varastavat kaikki sovellukseen syötetyt tiedot.
Toinen epäilyksiä herättävä sovellus on Kucoin. Se on Google Play Storessa, mutta ei App Storessa. iOS:lle sen voi ladata sivulatauksena, mutta se vaatii profiilin asentamista, ja sen on luonut ”Meridian Medical Network Corp”. – Tällaiset epätavalliset pyynnöt voivat usein olla varoitusmerkki. On myös ollut ainakin yksi tapaus, jossa on luotu väärennetty Kucoin-sovellus.

Mikä on riski?

Kuten kaikissa muissakin yleisimmissä sivulataussovellusluokissa, niihin liittyy riski, koska yksittäisten sovellusten turvallisuutta ei valvota riittävästi. Kaikki tahattomat hyväksikäyttökohteet metsästetään ja paljastetaan, ja siellä on tahallisesti haitallisia sovelluksia, joita varomaton käyttäjä voi asentaa asettaen heidät henkilökohtaisten taloudellisten vahinkojen vaaraan.
Riski – 2/5 organisaatiolle – 4/5 sovelluksen loppukäyttäjälle

Kaikki muu

Olemme käsitelleet vain viisi yleisintä sivulataussovellustyyppiä – on olemassa paljon muitakin, joita käyttäjät saattavat asentaa saadakseen laitteeseensa ylimääräisiä käyttöoikeuksia tai kiertääkseen Googlen ja Applen sovelluskaupoissaan noudattamia käytäntöjä. Roottauksen apuvälineiden, aikuisille suunnatun sisällön ja jopa pdf-lukulaitteiden on todettu sisältävän haitallista sisältöä, ja kun sovellus on ladattu sivutallennettuna, on hyvin vähän takeita siitä, että se on turvallinen. Tämä kaikki vahvistaa sitä, että asianmukainen valvonta ja näkyvyys on elintärkeää täydellisen mobiiliturvallisuuden varmistamiseksi.

Mitä voin tehdä?

Ensiksi olemme keränneet kaikki tässä artikkelissa mainittujen sovellusten AppID-tunnukset (löytyvät tämän sivun alareunasta), jotta voit pitää niitä silmällä laitteissasi – sinun pitäisi pystyä näkemään kaikki asennetut AppID-tunnukset, jos käytät EMM-ratkaisua.
Toiseksi sinun kannattaa harkita investoimista tietoturvaratkaisuun, joka pystyy jatkuvasti seuraamaan ja estämään kehittyviä uhkia koko laitteistokannassasi, riippumatta siitä, missä laitteessa ne voivat käynnistyä. Sivulataussovellusten osalta sinun tulisi etsiä ratkaisua, joka merkitsee laitteen vaaralliset asetukset (kuten latausten salliminen tuntemattomista lähteistä tai jailbroken), estää ei-toivotuiksi korostamasi sovellukset ja ilmoittaa sinulle sovelluksista, jotka näyttävät vaarallista toimintaa, kuten tietojen poistamista.
Jos haluat lisätietoja organisaatiosi suojaamisesta mobiiliuhilta, ota yhteyttä liikkuvuusasiantuntijoihimme jo tänään.

3rd Party App Stores

Tutuapp

iOS: com.tutuapp.tutuapphwenterprise, com.wjxhw.yhyy
Android: com.feng.droid.tutu
Aptoide
Android: cm.aptoide.pt

Pelit

Fortnite Installer
Android: Com.epicgames.portal

ilmaiset elokuvasovellukset

Movie Box
iOS: com.sull.videofun, com.vshare.move, com.tweakbox.moviebox
BobbyHD/Cotomovies
iOS: bobb.bcc.com, com.tweakbox.bobbymovie, bobby.bcc.movie, bobby.movie.bcc

Kryptovaluutta

Binance
iOS: com.binanceInternational.app, com.bijie.Binance, com.forbnbsignedinternational.app, com.NATELOOO20180329.internalApp, com.InternaluseSignbnbCloud.bnbapp, com.internalUseSign180322.app
Kucoin
iOS: Com.koins.nb, com.kucoin.KuCoin.App