autor: Michał Zegar
Smartfony Xiaomi na celowniku rządu Litwy przez problemy z prywatnością
Litewski rząd nawołuje swoich obywateli do porzucenia smartfonów Xiaomi. Ma to związek z nowym raportem, według którego chiński producent rzekomo umieścił w swoich urządzeniach moduł odpowiedzialny za cenzurę niektórych treści.
Litewskie Ministerstwo Obrony Narodowej zaleciło swoim obywatelom unikanie kupna smartfonów chińskiej marki Xiaomi oraz jak najszybsze pozbycie się tych już posiadanych. Z najnowszego raportu litewskiego Narodowego Centrum Cyberbezpieczeństwa (skrót: NKSC) wynika, że model Xiaomi Mi 10T 5G bez wiedzy użytkownika udostępniał jego prywatne dane chińskiemu rządowi, ponadto ma wbudowaną możliwość cenzurowania niektórych fraz.
Wprawdzie cenzura została wyłączona dla regionu europejskiego, ale według NKSC może zostać uruchomiona w każdej chwili. Wyrażenia, jakich dotyczy, to m.in.: „Wolny Tybet”, „Niech żyje niepodległość Tajwanu” czy „ruch demokratyczny”. Największą kontrolę ma nad wbudowanymi aplikacjami systemowymi Xiaomi – w tym nad domyślną przeglądarką (Mi Browser) – w których to uwzględnia aż 449 wykluczonych fraz, zawartych w pliku o nazwie MiAdBlackListConfig, przy czym ich liczba jest stale aktualizowana.
Co więcej, przeglądarka Xiaomi zawiera ukryty sensor zbierający dane na temat 61 parametrów powiązanych z używaniem aplikacji, np. czas aktywacji oraz ustawiony język. Te statystyki są szyfrowane i wysyłane na serwery korporacji zlokalizowane w Singapurze – kraju będącym poza zasięgiem Ogólnego rozporządzenia o ochronie danych Unii Europejskiej (RODO).
Dodatkowo moduł Google Analytics może odczytywać historię przeglądania z Mi Browser i wysyłać ją do serwerowni chińskiego giganta. Komponent ten jest włączany automatycznie podczas pierwszej aktywacji smartfona oraz po każdym fabrycznym resecie.
Na domiar złego numer telefonu komórkowego użytkownika jest po cichu rejestrowany na serwerach w Singapurze za pomocą zaszyfrowanej wiadomości SMS podczas aktywacji domyślnych usług w chmurze Xiaomi. Numer wysyłany jest niezależnie od tego, czy powiąże się go z nowym kontem, czy też nie. Sam zaszyfrowany SMS nie jest widoczny dla osoby korzystającej z urządzenia.
Oprócz smartfonów Xiaomi, NKSC przebadało też Huaweia P40 i OnePlusa 8T – również pochodzące od chińskich producentów. OnePlus przeszedł testy bez żadnych poważniejszych problemów z prywatnością. Huawei natomiast pozostawił sporo do życzenia, choć nie podpadł instytucji tak bardzo jak opisywany powyżej „zabójca flagowców” Xiaomi.
Stało się tak głównie za sprawą wbudowanego sklepu Huaweia o nazwie AppGallery, stanowiącego zamiennik dla Google Play. NKSC odkryło bowiem, że jeśli użytkownik szuka w AppGallery konkretnej aplikacji i nie znajdzie pasującego dla niej wzorca, to zostanie po cichu przekierowany do sklepów z programami firm trzecich, mogących zawierać potencjalnie szkodliwe pliki.
Wracając do sprawy Xiaomi, warto wspomnieć, że choć testy zostały przeprowadzone na specyficznym modelu, to problem z prywatnością nie ogranicza się wyłącznie do niego, lecz najprawdopodobniej dotyczy całego asortymentu smartfonów firmy. Rząd Litwy naraził się niedawno Chinom po tym, jak zacieśnił stosunki z Tajwanem. Poskutkowało to odwołaniem litewskiego ambasadora w Państwie Środka i prośbą do drugiej strony o ten sam krok. Nic więc dziwnego, że Ministerstwo Obrony Narodowej naszego sąsiada podejmuje wzmożone środki ostrożności.
Xiaomi w styczniu tego roku zostało dodane do „korporacyjnej czarnej listy” przez Departament Obrony USA, który zakwalifikował producenta jako „komunistyczne chińskie przedsiębiorstwo wojskowe”. W maju zaś ten sam departament odwołał swoją decyzję i wycofał Xiaomi z listy po dogłębnym zbadaniu sprawy. Czy zatem Xiaomi podzieli los Huaweia i zostanie „zbanowane” na terenie Litwy? Czas pokaże.