„Badanie to zostało zainicjowane w celu zapewnienia bezpiecznego korzystania z urządzeń mobilnych 5G i ich oprogramowania sprzedawanych na terenie naszego kraju. Do badania zostało wybranych trzech chińskich producentów którzy od zeszłego roku oferują na naszym rynku smartfony 5G a jednocześnie są określani przez społeczność międzynarodową jako stwarzający pewne zagrożenia dla bezpieczeństwa cybernetycznego” – powiedział Margiris Abukevičius, wiceminister obrony narodowej.
W badaniu zidentyfikowano 4 kluczowe zagrożenia dla bezpieczeństwa cybernetycznego. Dwa z nich dotyczyły aplikacji instalowanych na urządzeniach producenta, jeden – ryzyka wycieku danych osobowych, a jeden – możliwego ograniczenia wolności słowa. „Trzy zagrożenia zostały zidentyfikowane w urządzeniu Xiaomi, jedno w urządzeniu Huawei, a w urządzeniu mobilnym OnePlus nie zidentyfikowano żadnych luk w cyberbezpieczeństwie.
Ryzyko związane z aplikacjami producentów
Analizując działanie smartfona 5G firmy Huawei, specjaliści odkryli, że oficjalny sklep producenta z aplikacjami mobilnymi, App Gallery, zainstalowany na urządzeniu automatycznie przekierowuje użytkownika do sklepów internetowych innych firm, gdy nie znajdzie poszukiwanej aplikacji, przy czym niektóre z nich zostały ocenione przez programy antywirusowe jako złośliwe lub zainfekowane wirusami.
Badacze przypisali również ryzyko cyberbezpieczeństwa przeglądarce Mi Browser od Xiaomi. Oprócz modułu Google Analytics, który jest powszechny w innych przeglądarkach, wykorzystuje moduł Chinese Sensor Data, który zbiera i cyklicznie wysyła dane o 61 parametrach dotyczących działań użytkownika na jego telefonie.
„Naszym zdaniem jest to naprawdę nadmiar informacji o działaniach użytkownika. Fakt, że te obszerne informacje statystyczne są przesyłane szyfrowanym kanałem i przechowywane na serwerach Xiaomi w krajach trzecich, w których nie obowiązuje ogólne zasady ochrony danych, również stanowi zagrożenie” – mówi dr Tautvydas Bakšys, kierownik działu innowacji i szkoleń w NCCB, który przeprowadził testy.
Ewentualne ograniczenia wolności słowa
Analizując działanie urządzenia Xiaomi, specjaliści odkryli, że jest ono wyposażone w techniczne możliwości cenzurowania pobieranych na nie treści. Nawet kilka aplikacji producenta w telefonie, w tym Mi Browser, okresowo otrzymuje listę zablokowanych słów kluczowych skompilowanych przez producenta. Jeśli urządzenie wykryje, że treść, którą użytkownik chce pobrać, zawiera słowa z listy, automatycznie blokuje ją.
Odkryto listę 449 słów kluczowych lub grup słów kluczowych w chińskich znakach, takich jak „Wolny Tybet”, „Głos Ameryki”, „ruch demokratyczny”, „niech żyje niepodległość Tajwanu”, itp.
„Stwierdziliśmy, że telefony Xiaomi sprzedawane na Litwie miały wyłączoną funkcję filtrowania treści i nie cenzurowały treści, ale listy były okresowo wysyłane. Urządzenie ma techniczną możliwość zdalnego uruchomienia funkcji filtrowania w każdej chwili bez wiedzy użytkownika i rozpoczęcia analizy pobranych treści. Nie wykluczamy, że lista zablokowanych słów może być sporządzona nie tylko w języku chińskim, ale również w alfabecie łacińskim” – mówi T. Bakšys.
Ryzyko wycieku danych osobowych
Ryzyko wycieku danych osobowych zostało zidentyfikowane na urządzeniu Xiaomi, gdy użytkownik zdecyduje się na korzystanie z usługi Xiaomi Cloud. Aby aktywować usługę, z urządzenia wysyłana jest zaszyfrowana wiadomość rejestracyjna SMS, która nie jest nigdzie zapisywana.
„Specjalistom nie udało się odczytać treści tej zaszyfrowanej wiadomości, więc nie możemy powiedzieć, jakie informacje przesłało urządzenie. To zautomatyzowane wysyłanie wiadomości i ukrywanie ich treści przez producenta stanowi potencjalne zagrożenie dla bezpieczeństwa danych osobowych użytkowników, ponieważ nieświadomi użytkownika dane o nieznanej treści mogą być gromadzone i przesyłane do serwerów w krajach trzecich” – powiedział T. Bakšys.
Dlaczego ci producenci
W 2020 r. chińscy producenci Huawei, Xiaomi i OnePlus wprowadzili na rynek litewski smartfony piątej generacji (5G). Według Międzynarodowej Bazy Danych Cybernetycznych Podatności (Common Vulnerabilties and Exposures https://cve.mitre.org), w ciągu ostatnich czterech lat w urządzeniach wszystkich tych producentów zidentyfikowano zagrożenia dla bezpieczeństwa cybernetycznego. „Xiaomi miało 9 luk związanych z ryzykiem wycieku danych osobowych, Huawei miało 144 podatności, z których większość była związana z zakłócaniem funkcjonalności urządzeń, OnePulse miał jedną lukę związaną z aplikacją innej firmy, która wysyła wiadomości SMS nawet wtedy, gdy smartfon jest zablokowany.
Na podst. materiałów Narodowego Centrum Cybernebezpieczedństwa