12.07.2005

Kännykkä malware

Kirjoitin seuraavan threadinaloituksen, Tekstiviestiostaminen (Agile messenger subscription?), matkapuhelininfoon omituisista laskutustekstiviesteistä joita AgileMessenger niminen ohjelma lähetti. Samaa aihetta sivuttiin myös threadissa: LVM: Kännykkävirusten kustannukset operaattoreille.



Tapahtui sitten pikkasen 'Tomorrow is here today and I feel violated' tyyppinen tapahtuma. Eli jokin ohjelma laskutti itsensä automaagisesti p800:ssa tekstiviestillä ilman että mitenkään olisi ilmaissut tekevänsä niin sillä hetkellä tai kertoneensa mikä ohjelma oli. Koska tuo on selkeästi tulevaisuutta niin aiheesta voisi herättää keskustelua miten homman pitäisi toimia, toivottavasti ei kuitenkaan näin kuin tässä tapauksessa.

Copypastea DNA:n aspaan menneestä mailistani, josta selvinnee mitä tapahtui (puhelin oli muuten SE P800).
Moi

Eilen, 26.10.2005 kl 20:35 tuli pöydällä olleeseen puhelimeeni (eli en käyttänyt sitä, eikä siinä ollut ylimääräisiä ohjelmia päällä) peräkkäin kolme kuittausviestiä numerosta 173372 joiden sisältö oli 'Thank you for your purchases' ja kun rupesin ihmettelemään asiaa niin samaan aikaan kyseiseen numeroon oli todellakin lähtenyt kolme viestiä joihin tuo vastaus oli tullut. Viestien sisältö oli "BIT AGI C=Q/sj3a6..." ja tuon loppuosan hashin pituus oli about 120 merkkiä sekalaisia kirjaimia ja numeroita.

Periaatteessa nuo viestit voisivat (googlen perusteella) olla Agile Messengerin subscription viestejä, mutta siinäkin tapauksessa ohjelma toimii varsin härskisti kysymättä mitään käyttäjältä ja mitenkään kertomatta kuittauksissaan mihin viestit liittyvät. Tietysti se voisi toimia vielä härskimmin poistaen lähetetyt viestit ja tulleet kuittausviestit.

Eli koska itse viesteistä ei oikein voi päätellä mitään. Niin nyt kiinostaisi se mitä olen ostanut, keneltä ja mikä tuo numero on johon nuo viestit on menneet ja mitä kuuluu tehdä siinä tapauksessa jos tuo on kusetusta? Koska te mitä suurimmalla todennäköisyydellä laskutatte nuo puhelinlaskuni yhteydessä, niin varmaan tiedätte mistä laskutatte? :)....

Mikä tuossa sitten mättää? Listaan tähän tulee sekaisin jututtuja jotka liittyy palveluihin, operaattoreihin, puhelimiin, softiin jne...

- Ohjelma ei pyytänyt käyttäjältä mitään kuittausta että sopiiko tämä juttu tehdä, eikä se ollut missään vaiheessa kysynyt saako se tehdä automaagisesti juttuja

- Mistään viesteistä ei selviä mistä on kyse, mitä on ostettu, keneltä ja mitä maksoi eikä myöskään se keneltä on jotain ostettu. Ei ole myöskään mitään tapaa oikeastaan saada sitä selvillekkään suoraan (saa nähdä mitä tuo DNA ASPA vastaa), mutta käyttäjä ei ainakaan pysty selaamaan vaikka netistä juttuja mitä on tullu ostettua (ja mistä sitä laskutetaan)

- Jos softa on pahantahtoinen niin se voi ihan yhtä lailla pyyhkiä jäljet puhelimesta että mitään viestejä on lähetettykään ja (kuittaukset myös) jolloin ainoa paikka missä jotain näkyy jotain on lasku jossa on mystinen summa ja kun juttujen ostaminen yleistyy ja laskussa on ostettujen asioiden kohdalla joku muu luku kuin 0 niin muutaman eurojen kusetusviestejä on mahdotonta siitä laskusta erottaa, mutta niille ketä ketä tekee sillä bisnestä on mahdollista tehdä kusetus tuhansille ihmisille jolloin se on kannattavaa...

- Operaattoreilla ei oikein ole mitään palveluita joilla tilannetta voisi hallita, data-siirtoissa ei ole rajoituksia. Siinä vaiheessa kun käyttäjällä on puhelimessaan buginen/pahantahtoinen softa joka siirtää rajoittamattomasti dataa käyttäjän huomaamatta niin käyttäjälle jää käteen vain lasku. Kuitenkin suhteellisen helppo ratkaisu olisi tehdä vaikka 100MB/kk data paketteihin saldorajan tyylinen rajoitus joka löisi poikki siirron määrän täytyttyä ja ilmoittaisi asiasta käyttäjälle tekstiviestillä... tyyliin "lähetä DATA +100 jos haluat lisää kaistaa tälle kuukaudelle (10e)"

- Toisaalta ainakaan DNA:n saldorajakaan ei toimi riittävän hyvin, sivujen mukaan se toimii päivän viiveellä jossa ajassa saadaan huimia laskuja aikaiseksi. Tosin tämä on todettu jo mediassakin, eli ei mitään uutta tässä.

Kuitenkin periaatteessa saldorajan tai virtuaalisen lompakon johon voi "ladata" rahaa paypalin tyyliin josta sitten ostetut palvelut laskutetaan olisivat toimiva ratkaisu tuohon, että viimekädessä toimitaan tahojen välillä joilla ei ole täydellistä luottamusta käytettävissään toisistaan. Tosin tässä täytyy muistaa, että käyttäjän kannalta toimivan systeemin luominen ei välttämättä ole operaattorien intresseissä kun ne saavat myös kusetuksista itselleen rahaa vaikka eivät itse olisikaan niihin syyllisiä vaan hyötyvät tilanteesta välillisesti.

Joka tapauksessa pohjimmiltaan ongelma on, että järjestelmä on oletukseltaan "täydelliseen luottamukseen" perustuva, eikä ole kontrollimekanismeja sen suhteen että todellisuudessa se ei sitä ole ja jatkossa on yhä vähemmän. Ei ole enää kontrollia sen suhteen, millaisia palveluita on ympäriinsä, eikä myöskään sille miten ohjelmistot puhelimissa toimivat. Eikä käyttäjät edes halua tuollaista täydellisen luottamuksen ympäristöä, he haluavat juttuja jotka eivät vaadi sitä ilman suunnatonta säätöä ja kontrollia.