PRIPISUJU IM ŠPIJUNAŽU: U EU i SAD ponovo uzbuna zbog kineskih mobilnih telefona

Nova preporuka ministarstva obrane Litve građanima da se riješe svojih mobitela kineske proizvodnje i izbjegavaju njihovu kupovinu podigla je prašinu u cijeloj Europskoj uniji, ali i šire.

Nacionalni centar za cyber sigurnost ministarstva obrane Litve upozorio je, podsjetimo, u srijedu da model mobitela Mi 10T 5G koji u Europi prodaje kineski gigant pametnih telefona Xiaomi Corp ima softversku mogućnost otkrivanja i cenzuriranja pojmova poput “Slobodan Tibet”, “Živjela neovisnost Tajvana”, “Glas Amerike” ili “Pokret za demokraciju”. Dodali su da je ova mogućnost Xiaomijevog softvera za telefon Mi10T isključena za regiju Europske unije, ali da se može uključiti na daljinu u bilo kojem trenutku, prenosi index.hr.

Možda i alarmantnije od mogućnosti za cenzuru, Litvanski Nacionalni centar za cyber sigurnost (NCSC) otkrio je da je softverski modul koji Xiaomijev mobitel sadrži specijalno dizajniran za curenje korisničkih podataka kineskim vlastima.

Xiaomijev mobitel može slati vašu internetsku povijest serverima u Kini

Naime, kako prenosi IT portal Ars Technica, Xiaomi Mi 10T 5G ima nestandardni internetski preglednik nazvan Mi Browser. Njegov modul za Google Analytics može čitati povijest pregledavanja i pretraživanja na uređaju i slati te podatke Xiaomijevim serverima na korištenje u nespecificirane svrhe. Taj modul aktivira se automatski pri prvom paljenju mobitela i nakon resetiranja na tvorničke postavke.

Drugi problematični modul na ovom mobitelu koji je NCSC pronašao, nazvan Sensor Data, prikuplja statistike o 61 parametru koji se odnosi na aktivnost aplikacija, uključujući vrijeme aktivacije aplikacije, jezik koji se koristi i slično. Ovi se statistički podaci kriptiraju i šalju na Xiaomijeve servere u Singapur, zemlji za koju NCSC napominje da nije obuhvaćena EU regulativom o zaštiti osobnih podataka poznatom kao GDPR.

Singapur se i inače povezuje s prekomjernim prikupljanjem podataka i zloupotrebom privatnosti korisnika, navodi se u izvještaju.

NCSC je također otkrio da se broj mobilnog telefona korisnika potajno registrira na serverima u Singapuru putem šifrirane SMS poruke o aktivaciji zadanih Xiaomijevih cloud usluga. Broj mobilnog telefona šalje se bez obzira na to veže li ga korisnik s novim računom u oblaku ili ne, a kriptirani SMS nije vidljiv korisniku.

Nekoliko sistemskih aplikacija na mobitelu redovito skida dokument nazvan MiAdBlackListConfig s navedenih servera u kojem je NCSC pronašao evidenciju, odnosno svojevrsnu crnu listu 449 izraza i imena raznih političkih, vjerskih i društvenih organizacija, a koju Xiaomijeve aplikacije koriste kako bi analizirale multimedijski sadržaj koji bi se mogao prikazivati na mobitelu i blokirati sav onaj koji sadrži “nepoželjne” ključne riječi.

Iako je takvo filtriranje, odnosno cenzura sadržaja, onemogućeno za mobitele registrirane u EU, i ti mobiteli redovito skidaju tu listu za blokiranje te se ona može daljinski aktivirati po potrebi.

Huaweijev mobitel omogućuje skidanje malwarea s aplikacijama?

U uređaju P40 5G kineskog Huaweija, drugom od tri mobitela koji je NCSC analizirao, nije nađena ista vrsta spywarea, ali nađen je drugi sigurnosni problem. Naime, Huawei na svom novom mobitelu nudi AppGallery, svoju zamjenu za platformu za skidanje aplikacija Google Play, pristup kojem je uskraćen Huaweiju odlukom administracije Donalda Trumpa 2019. radi zaštite nacionalne sigurnosti.

Zabrana je bila motivirana sumnjama da Huawei preko svojih uređaja omogućuje kineskim vlastima cyber-špijunažu, pomoću takozvanih softverskih stražnjih vrata (backdoor).

Trumpova administracija tvrdila je da kineski zakon obvezuje Huawei da surađuje s državnim obavještajnim službama, kao i da Huawei krade intelektualno vlasništvo tvrtki s kojima surađuje. Huawei je sve te optužbe negirao.

Ako korisnik ovog Huaweijevog mobitela preko opcije AppGallery traži određene aplikacije, sustav ga potajno prebacuje u neku drugu trgovinu aplikacijama ako te aplikacije nema u AppGallery. Neke od tih drugih trgovina aplikacija su Apkmonk, APKPure i Aptoide, a litvanski analitičari su na tako skinutim aplikacijama pronašli potencijalni malware. Ipak, ova je dijagnoza mnogo manje specifična i pouzdana od one za Xiaomijev mobitel, objašnjava Ars Technica.

Xiaomi: Mi ne ograničavamo aktivnosti korisnicima, poštujemo GDPR

NCSC nije pronašao nikakve sigurnosne probleme na trećem mobitelu koji je analizirao OnePlus 8T 5G.

“Naša je preporuka da se kineski mobilni telefoni ne kupuju, kao i da se kupci riješe onih koji su već kupljeni u najkraćem razumnom roku”, rekao je zamjenik ministra obrane Margiris Abukevickus novinarima.

Predstavnici Huaweija na Baltiku pak odbacuju ove tvrdnje te inzistiraju kako njihovi uređaji ne šalju korisničke podatke nikome.

Američka televizija CBS News također prenosi odgovor na upit koji je poslala Xiaomiju. Glasnogovornik Xiaomija rekao je za CBS News da “uređaji tvrtke ne cenzuriraju komunikaciju prema korisnicima ili od njih.”

“Xiaomi nikada nije niti će ograničiti ili blokirati bilo kakvo osobno ponašanje korisnika naših pametnih telefona, poput pretraživanja, pozivanja, pregledavanja weba ili upotrebe komunikacijskog softvera treće strane. Xiaomi u potpunosti poštuje i štiti zakonska prava svih korisnika. Xiaomi je usklađen s Općom uredbom Europske unije o zaštiti podataka (GDPR)”, inzistira ova kineska tvrtka.

Trumpova administracija optužila Xiaomi i Huawei za povezanost s kineskom vojskom

Xiaomi je inače ove godine postao drugi svjetski proizvođač pametnih telefona, odmah iza južnokorejskog giganta Samsunga. Međutim, i Xiaomi se našao u problemima kad ga je Trumpova administracija na kraju mandata stavila na crnu listu američkog Ministarstva obrane zbog sumnji na povezanost s kineskom vojskom. Xiaomi, koji negira takve optužbe, nakon toga je tužio američku vladu i isposlovao micanje s crne liste.

Litvanski zamjenik ministra obrane Margiris Abukevicius objasnio je da je njihov NCSC ovu istragu proveo “kako bi se osigurala sigurna uporaba 5G mobilnih uređaja koji se prodaju u našoj zemlji i softvera koji oni sadrže”.

“Ljudi bi također trebali znati što se nalazi u tim telefonima, (znati) o određenom softveru i razmotriti sigurnost prije donošenja odluka”, dodao je Abukevicius.

Javili se i iz Huaweija

Danas popodne su se javili iz Huaweija.

“Huawei se uvijek držao načela integriteta, pridržavao zakona te propisa zemalja i regija u kojima djeluje, a kompanija smatra cyber sigurnost i zaštitu privatnosti najvišim prioritetom. Huawei bilježi odlične rezultate u području cyber sigurnosti u više od 170 zemalja i regija te opslužuje više od tri milijarde korisnika”, pišu.

“Podaci se nikada ne obrađuju izvan Huawei uređaja. Huawei je transparentan oko podataka koje prikuplja od korisnika, a oni su svedeni na minimum i koriste se za poboljšanje personalizacije i korisničkog iskustva. Što se tiče uporabe podataka na Huawei telefonima, AppGallery prikuplja i obrađuje samo podatke potrebne kako bi svojim korisnicima omogućio pretraživanje, instaliranje i upravljanje aplikacijama trećih strana, na isti način kao i druge trgovine aplikacija”, pišu.

“Petal Search i AppGallery su certificirani od strane European Privacy Seal za usklađenost s GDPR-om. Huawei jasno daje do znanja da su te aplikacije iz javno dostupnih izvora, pa korisnici imaju mogućnost preuzimanja aplikacija. Kompanija provodi sigurnosnu provjeru kako bi se uvjerila da korisnik preuzima samo aplikacije koje su sigurne i operativne na HMS uređajima”, dodali su.

“Poštujemo zakone svake zemlje i regije u kojima poslujemo te izuzetno brinemo o našim klijentima, partnerima i svim ljudima koji koriste našu tehnologiju i na koje utječe njena upotreba. Također, ulažemo veliki trud i u sigurnu obradu podataka”, stoji u objavi Huaweija.

(SB)