Juuri parahiksi ennen Where 2.0 -konferenssin päättymistä O'Reillyn tutkijat Alasdair Allan and Pete Warden julkaisivat iPhonen tallettamiin sijaintitietoihin liittyvän löydöksen, josta nousi tietyissä kapeissa rajoissa pysytellyt meteli uutismedioissa ja blogeissa. Se mikä tässäkin hälinässä jäi täysin käsittelemättä, oli ICT-alan yrityksien laadunvalvontaprosessit.

Kyse on siis älypuhelimessa sijaitsevasta tiedostosta, johon tallettuu lähimpien 3G-tornien perusteella arvioidut sijaintitiedot. Tämä tiedosto tallettuu myös tietokoneelle, johon asennetun iTunes ohjelmiston kanssa laite synkronoituu ja siinä samalla varmuuskopion tekee. Tämä logitieto ei pyyhkiydy vanhimpien tietojen osalta pois.

Verkossa, hieman "pintakerrosta alempana" esiintyneen keskustelun perusteella voidaan havaita, että asia on ollut tietoturvaskenen tiedossa jo pidempään, eikä sinänsä ollut varsinaisesti yllättävä asia. Alex Levinson kertoi blogissaan, että mainitun logitiedoston olemassa olosta ja saavutettavuudesta on kerrottu edellisvuoden puolella kirjassa iOS Forensic Analysis (Apress).

Medialle tämä on ollut helppo aihe, sillä talletettujen sijaintitietojen visualisoiminen on varsin havainnollistava keino, toimii erinomaisesti huomionkiinnittäjänä ja näiden tietojen käytettävyys on kaikkien ymmärrettävissä ainakin jollain tasolla. Esimerkkinä tästä The New York Timesin blogisti (Pogue's Posts), joka sai otsikoinnillaan "Your iPhone Is Tracking You" sekä kiteytettyä näppärästi monen ihmisen jakaman asenteen ("so what"), että hyödynnettyä sanan "tracking" uhkaavuuden.

Google ehti jo omalta osaltaan vastaamaan julkisesti huoliin käyttäjien sijaintiedoista, toteamalla, että Android-laitteiden keräämä sijaintidata, jota ei siis lähetetä minnekään ilman käyttäjän lupaa ja josta laite itse säilöö vain vähän viimeisiä merkintöjä, olevan välttämätöntä tietynlaisten sijaintiapplikaatioiden luomiseksi. Apple ei ilmeisesti vielä ole ehtinyt kommentoida asiaa omalta osaltaan, mutta vaatimuksia selvyyden saamiseksi on esitetty "korkeita tahoja myöten".

F-securen blogissa tiedettiin kertoa, että sijaintiedot eivät jää pelkästään käyttäjän iPhone-laitteeseen tai tietokoneelle tallettuvaan varmuuskopioon, iTunesiin synkronoitaessa, vaan tieto menee aina Applelle saakka, jos on tullut ruksanneeksi osallistumisensa laitteen käyttötietojen anonyymiin luovuttamiseen Applelle. Computer Worldin blogissa muistetaan, että kirjalliset suostumukset ovat usein "semantiikkapeliä" eli täten esim. kiellettäessä se mahdollisuus, että käyttäjää tietoisesti jäljitettäisiin, ei suljeta pois sitä vaihtoehtoa, että tietoa kuitenkin kerätään.

Se mikä on tällaisten asioiden uutisoinnissa erityisen pikanttia, ihan joka kerta, on se, että mahdollisesti mikään taho ei käy ruotimaan tilanteen aiheuttaneen organisaation (tässä siis Apple) laadunvalvontaa ja testausprosesseja. Tässäkin tapauksessa asiaa on käsitelty pääsääntöisesti siten, että Apple ajatellaan ikään kuin jonkinlaisena oliona, jonka sisään ei näe, jolloin argumenteissa arvioidaan Apple olion aikomuksia ("Applen tarkoituksena on saaattanut olla.." tai "Apple on harrastanut tällaista ennenkin.."). Voisi kuvitella, että ICT-alaan erikoistuneissa julkaisuissa tohdittaisiin mennä asiaan hiukan syvemmälle ja jostain enemmän originelleista kulmista, mutta näin ei ole. Olisi mielenkiintoista lukea vaikkapa jonkun projektipäällikön arviointeja jonkin toisen yrityksen laadunvalvontaprosesseista kuin missä itse työskentelee. Tai vaihtoehtoisesti jonkun IT-alan suuryrityksen palkkalistoilla työskennelleen koodarin kokemuksista liittyen ohjelmistotuotannossa esiintyvien bugien käsittelyyn.

Computer Worldin toimittaja Ryan Faas kertoi eräässä vaiheessa tapauksen käsittelyä, että kyse tiedon ylenmääräisessä tallettamisessa olisi bugista, mutta tätä tietoa ei kovin nopeasti vahvistettu (myöhemmin kylläkin). Bugin olo ja se, että asia nousi julkisuudessa pintaan niin kovin hitaasti, jättää avoimeksi mahdollisuuden, että bugi voisi olla kumpaa hyvänsä seuraavista: erheen kautta jäänyt tai tahallaan lisätty. Onhan esim. ilmennyt (CarrierIQ:n tapaus), että tiettyjen älypuhelinten tallettaessa liikaa monenlaista erilaista tietoa lokitietoihin, kyse oli kerrotun mukaan siitä, että useiden laitteiden valmistajilta oli unohtunut debug asetus päälle, joka olisi käytännössä yksi ohjelmallinen kytkin konfiguraatiotiedostossa. Miten sellainen virhe voi tapahtua useille eri toimijoille?

Olisikin mielenkiintoista tietää, miten laadunvalvonta toimii Applessa eli kuinka monien ihmisten kautta mikäkin asia kulkee. Varmaankin sellainen laadunvalvonnan osatekijä heillä on käytössään, että kaikki tuotettu ohjelmistokoodi on aina jonkun nimissä tehtyä ja koodin tarkastajien nimet helposti löydettävissä, joten ihan kuka tahansa yksittäinen insinööri ei voisi lisäillä omaa koodiaan täysin vapaasti.

Sinänsähän tämä sijaintitietojen tallennus helposti luettavaan logitiedostoon ei aiheuta varsinaista uhkaa kenellekään sellaisenaan, mutta jos logitieto siirtyy iTunesin kautta myös Windowsiin, olisi tuo logitiedosto kaapattavissa koneelta siinä missä kaikki muukin tieto - jos se ei ole riittävän hyvin suojattu.