Nova preporuka ministarstva obrane Litve građanima da se riješe svojih mobitela kineske proizvodnje i izbjegavaju njihovu kupovinu podigla je prašinu u cijeloj Europskoj uniji, ali i šire.
Nacionalni centar za cyber sigurnost ministarstva obrane Litve upozorio je, podsjetimo, u srijedu da model mobitela Mi 10T 5G koji u Europi prodaje kineski gigant pametnih telefona Xiaomi Corp ima softversku mogućnost otkrivanja i cenzuriranja pojmova poput “Slobodan Tibet”, “Živjela neovisnost Tajvana”, “Glas Amerike” ili “Pokret za demokraciju”. Dodali su da je ova mogućnost Xiaomijevog softvera za telefon Mi10T isključena za regiju Europske unije, ali da se može uključiti na daljinu u bilo kojem trenutku.
Možda i alarmantnije od mogućnosti za cenzuru, Litvanski Nacionalni centar za cyber sigurnost (NCSC) otkrio je da je softverski modul koji Xiaomijev mobitel sadrži specijalno dizajniran za curenje korisničkih podataka kineskim vlastima.
Xiaomijev mobitel može slati vašu internetsku povijest serverima u Kini
Naime, kako prenosi IT portal Ars Technica, Xiaomi Mi 10T 5G ima nestandardni internetski preglednik nazvan Mi Browser. Njegov modul za Google Analytics može čitati povijest pregledavanja i pretraživanja na uređaju i slati te podatke Xiaomijevim serverima na korištenje u nespecificirane svrhe. Taj modul aktivira se automatski pri prvom paljenju mobitela i nakon resetiranja na tvorničke postavke.
Drugi problematični modul na ovom mobitelu koji je NCSC pronašao, nazvan Sensor Data, prikuplja statistike o 61 parametru koji se odnosi na aktivnost aplikacija, uključujući vrijeme aktivacije aplikacije, jezik koji se koristi i slično. Ovi se statistički podaci kriptiraju i šalju na Xiaomijeve servere u Singapur, zemlji za koju NCSC napominje da nije obuhvaćena EU regulativom o zaštiti osobnih podataka poznatom kao GDPR.
Singapur se i inače povezuje s prekomjernim prikupljanjem podataka i zloupotrebom privatnosti korisnika, navodi se u izvještaju.
Xiaomijev mobitel ima tajnu crnu listu za cenzuru koja se može uključiti bilo kada
NCSC je također otkrio da se broj mobilnog telefona korisnika potajno registrira na serverima u Singapuru putem šifrirane SMS poruke o aktivaciji zadanih Xiaomijevih cloud usluga. Broj mobilnog telefona šalje se bez obzira na to veže li ga korisnik s novim računom u oblaku ili ne, a kriptirani SMS nije vidljiv korisniku.
Nekoliko sistemskih aplikacija na mobitelu redovito skida dokument nazvan MiAdBlackListConfig s navedenih servera u kojem je NCSC pronašao evidenciju, odnosno svojevrsnu crnu listu 449 izraza i imena raznih političkih, vjerskih i društvenih organizacija, a koju Xiaomijeve aplikacije koriste kako bi analizirale multimedijski sadržaj koji bi se mogao prikazivati na mobitelu i blokirati sav onaj koji sadrži “nepoželjne” ključne riječi.
Iako je takvo filtriranje, odnosno cenzura sadržaja, onemogućeno za mobitele registrirane u EU, i ti mobiteli redovito skidaju tu listu za blokiranje te se ona može daljinski aktivirati po potrebi.
Huaweijev mobitel omogućuje skidanje malwarea s aplikacijama?
U uređaju P40 5G kineskog Huaweija, drugom od tri mobitela koji je NCSC analizirao, nije nađena ista vrsta spywarea, ali nađen je drugi sigurnosni problem. Naime, Huawei na svom novom mobitelu nudi AppGallery, svoju zamjenu za platformu za skidanje aplikacija Google Play, pristup kojem je uskraćen Huaweiju odlukom administracije Donalda Trumpa 2019. radi zaštite nacionalne sigurnosti.
Zabrana je bila motivirana sumnjama da Huawei preko svojih uređaja omogućuje kineskim vlastima cyber-špijunažu, pomoću takozvanih softverskih stražnjih vrata (backdoor).
Trumpova administracija tvrdila je da kineski zakon obvezuje Huawei da surađuje s državnim obavještajnim službama, kao i da Huawei krade intelektualno vlasništvo tvrtki s kojima surađuje. Huawei je sve te optužbe negirao.
Ako korisnik ovog Huaweijevog mobitela preko opcije AppGallery traži određene aplikacije, sustav ga potajno prebacuje u neku drugu trgovinu aplikacijama ako te aplikacije nema u AppGallery. Neke od tih drugih trgovina aplikacija su Apkmonk, APKPure i Aptoide, a litvanski analitičari su na tako skinutim aplikacijama pronašli potencijalni malware. Ipak, ova je dijagnoza mnogo manje specifična i pouzdana od one za Xiaomijev mobitel, objašnjava Ars Technica.
Xiaomi: Mi ne ograničavamo aktivnosti korisnicima, poštujemo GDPR
NCSC nije pronašao nikakve sigurnosne probleme na trećem mobitelu koji je analizirao OnePlus 8T 5G.
“Naša je preporuka da se kineski mobilni telefoni ne kupuju, kao i da se kupci riješe onih koji su već kupljeni u najkraćem razumnom roku”, rekao je zamjenik ministra obrane Margiris Abukevickus novinarima.
Predstavnici Huaweija na Baltiku pak odbacuju ove tvrdnje te inzistiraju kako njihovi uređaji ne šalju korisničke podatke nikome.
Američka televizija CBS News također prenosi odgovor na upit koji je poslala Xiaomiju. Glasnogovornik Xiaomija rekao je za CBS News da “uređaji tvrtke ne cenzuriraju komunikaciju prema korisnicima ili od njih.”
“Xiaomi nikada nije niti će ograničiti ili blokirati bilo kakvo osobno ponašanje korisnika naših pametnih telefona, poput pretraživanja, pozivanja, pregledavanja weba ili upotrebe komunikacijskog softvera treće strane. Xiaomi u potpunosti poštuje i štiti zakonska prava svih korisnika. Xiaomi je usklađen s Općom uredbom Europske unije o zaštiti podataka (GDPR)”, inzistira ova kineska tvrtka.
Index.hr
