Czerwona flaga dla Xiaomi i Huawei. OnePlus zdał.

Audyt organu odpowiedzialnego za cyberbezpieczeństwo Litwy dostarczył jednoznacznych wniosków

Litewskie Narodowe Centrum Cyberbezpieczeństwa (NCSC) opublikowało ocenę bezpieczeństwa trzech ostatnich modeli chińskich smartfonów - Huawei P40 5G, Xiaomi Mi 10T 5G i OnePlus 8T 5G. Co się okazało?

Telefon Xiaomi zawiera moduły oprogramowania specjalnie zaprojektowane do przesyłania danych wprost do chińskich władz jak i do cenzurowania mediów związanych z tematami, które chiński rząd uważa za wrażliwe. Telefon Huawei zastępuje z kolei standardowy sklep z aplikacjami Google Play substytutami firm trzecich, które to programy NCSC uznało za podejrzane i stanowiące po prostu potencjalnie złośliwe przepakowanie popularnych aplikacji. Jedynie OnePlus 8T 5G - bez wątpienia najbardziej znany i najszerzej sprzedawany telefon z całej trójki - był jedynym, który uniknął kontroli NCSC bez żadnych zastrzeżeń.

Masz Xiaomi Mi 10T 5G? Twoje dane są w Singapurze

Mi 10T 5G firmy Xiaomi jest wyposażony w niestandardową przeglądarkę o nazwie Mi Browser. NCSC znalazło w Mi Browser dwa komponenty, które nie przypadły mu do gustu - Google Analytics i mniej znany moduł o nazwie Sensor Data.

Moduł Google Analytics w Mi Browser może odczytywać z urządzenia historię przeglądania i wyszukiwania, a następnie wysyłać te dane do serwerów Xiaomi w bliżej nieokreślonych celach. Moduł Google Analytics jest domyślnie aktywowany automatycznie podczas pierwszej aktywacji telefonu lub po każdym resecie fabrycznym.

NCSC odkryło, że moduł Sensor Data zbiera statystyki 61 parametrów związanych z aktywnością aplikacji, w tym czas aktywacji aplikacji, używany język itd. Statystyki te są szyfrowane i wysyłane do serwerów Xiaomi w Singapurze, kraju, który, jak zauważa NCSC, nie jest objęty unijnym RODO i był już na cenzurowanym za nadmierne gromadzenie danych i nadużywaniem prywatności użytkowników.

Pewnych treści nie obejrzysz, nie posłuchasz, nie poczytasz

NCSC odkryło również, że numer telefonu komórkowego użytkownika jest po cichu rejestrowany na serwerach w Singapurze za pośrednictwem zaszyfrowanej wiadomości SMS podczas aktywacji domyślnych usług w chmurze Xiaomi. Numer telefonu komórkowego jest wysyłany niezależnie od tego, czy użytkownik powiąże go z nowym kontem w chmurze, czy nie, a zaszyfrowany SMS nie jest widoczny dla użytkownika.

Kilka aplikacji systemowych Xiaomi na Mi 10T 5G regularnie pobiera plik o nazwie MiAdBlackListConfig z serwerów w Singapurze. W tym pliku NCSC znalazło 449 rekordów identyfikujących grupy religijne, polityczne i społeczne. Klasy oprogramowania w tych aplikacjach Xiaomi używają MiAdBlackListConfig do analizy multimediów, które mogą być wyświetlane na urządzeniu i blokują te treści, jeśli „niepożądane” słowa kluczowe są z nimi związane.

Huawei nieco tylko „lepszy”

Mimo, że NCSC nie znalazło tej samej klasy modułów szpiegujących i filtrujących treść w Huawei P40 5G, co w Mi 10T 5G, to mimo to także ten telefon oceniło krytycznie. Najbardziej oczywiste problemy P40 5G wynikają z zastąpienia Sklepu Play Google'a własnym sklepem AppGallery, który Huawei określa jako bezpieczniejsze miejsce do pobierania wszystkich ulubionych aplikacji. NCSC odkryło, że jeśli użytkownik wyszuka w AppGallery konkretną aplikację, zostanie po cichu przekierowany do sklepów z aplikacjami innych firm, jeśli nie znajdzie pasującej aplikacji w samym AppGallery.

Znalezione przez NCSC platformy dystrybucji stron trzecich powiązane z AppGallery obejmują między innymi Apkmonk, APKPure i Aptoide. NCSC wykorzystało VirusTotal do przeskanowania kilku aplikacji zainstalowanych za pośrednictwem AppGallery i powiązanych z nią platform zewnętrznych, i wykryło potencjalne złośliwe oprogramowanie w trzech z nich: All in One social media, CNC Machinist Tapping Calculator, oraz „Messenger app, Light All-in-One, Live Free Chat Pro App”.

Zainstalujesz APK, którego byś nie chciał

Choć Apkmonk, APKPure i Aptoide są dość dobrze znanymi „alternatywnymi sklepami” dla aplikacji Androida, są one mniej dokładnie kontrolowane niż własny Sklep Play Google. Aptoide, na przykład, oferuje zarówno swoje własne główne repozytorium - które jest sprawdzane, skanowane i wydaje się być równie bezpieczne jak Sklep Play. Ale Aptoide pozwala również na łatwe samodzielne tworzenie repozytoriów APK dla każdego, kto chce przesłać swoje własne APK.

Nawet użytkownicy, którzy nie szukają pirackiego oprogramowania, mogą nieumyślnie natknąć się na przepakowane złośliwym oprogramowaniem lub skopiowane wersje legalnych aplikacji, z pozorną „legalnością” dodaną przez ponowne podpisanie zmodyfikowanej lub skopiowanej aplikacji własnym kluczem uploadera.