Национальный центр кибербезопасности при Министерстве национальной обороны Литвы оценил на предмет кибербезопасности смартфоны китайских производителей, которые поставляют в страну: Huawei P40, Xiaomi Mi 10T и OnePlus 8T. Как результат, людей попросили выбросить свои китайские телефоны и не покупать новые из-за найденных уязвимостях и элементов цензуры.
Об этом говорится в отчете Национального центра по кибербезопасности.
Расследование начали, чтобы гарантировать безопасное использование в Литве устройств и программного обеспечения 5G. При анализе выявили четыре существенных риска для кибербезопасности:
- два связаны с встроенными приложениями;
- один — с безопасностью личных данных;
- и еще один — с возможным конфликтом относительно свободы слова.
Три риска выявили в телефоне Xiaomi, один — в Huawei, а в OnePlus никакого риска и не выявили.
«Мы рекомендуем не покупать новые китайские телефоны и как можно быстрее избавляться от уже приобретенных», — сказал заместитель министра обороны Маргирис Абукявичюс.
Оценка телефона Huawei показала, что AppGallery (официальный магазин приложений, который установил производитель) автоматически перенаправляет в сторонние интернет-магазины, если в нем нет того, что ищет пользователь. На часть приложений, которые предлагают в сторонних интернет-магазинах, реагирует антивирус из-за вредоносных программ.
Также риски выявили в браузере Mi Browser на мобильных телефонах Xiaomi. Он использует не только Google Analytics, но и данные китайских датчиков. Эти китайские датчики собирают данные, касающиеся действий пользователя на устройстве, и периодически отправляют на серверы Xiaomi в третьих странах.
Также на устройствах Xiaomi обнаружили техническую функциональность, которая может цензурировать данные, которые загружаются. Некоторые приложения на смартфоне, в том числе Mi Browser, периодически загружают список запрещенных ключевых слов от производителя. Если контент, который загружает пользователь, содержит ключевые слова из списка, он автоматически блокируется. На момент расследования выявили 449 «запрещенных» слов и словосочетаний: «свободный Тибет», «голос Америки», «демократическое движение» и «Да здравствует демократический Тайвань».
Хотя эта функция отключена в телефонах, которые поставляют в Литву, однако ее можно удаленно включить.
Кроме этого, в устройстве Xiaomi выявили и риск безопасности для персональных данных, в частности, в облачном сервисе. Для активации услуги на телефон отправляется зашифрованное SMS-сообщение, которое не сохраняется на устройстве (то есть невозможно проверить его содержимое).
Почему китайские производители? Китайские производители Huawei, Xiaomi и OnePlus представили смартфоны пятого поколения с поддержкой мобильной связи 5G на литовском рынке в 2020 году. Согласно международной базе данных уязвимостей, риски кибербезопасности выявили на устройствах всех упомянутых производителей за последние четыре года. В продуктах Xiaomi — 9 уязвимостей, касающихся безопасности персональных данных. В продуктах Huawei выявили 144 уязвимости, большинство из которых связано с нарушением функций устройства. В смартфонах OnePlus обнаружили одну уязвимость, которая отправляет SMS-сообщения, когда устройство заблокировано.