Национальный центр кибербезопасности при Министерстве национальной обороны Литвы провел оценку кибербезопасности смартфонов 5G китайских производителей, поставляемых в Литву: Huawei P40 5G, Xiaomi Mi 10T 5G, OnePlus 8T 5G.
«Исследование было инициировано для обеспечения безопасного использования устройств и программного обеспечения 5G в Литве. С этой целью мы выявили трех китайских производителей, которые с прошлого года предлагают мобильные устройства 5G литовским потребителям и были идентифицированы международным сообществом как представляющие определенные риски кибербезопасности », — говорит вице-министр национальной обороны Маргирис Абукявичюс.
Расследование выявило четыре существенных риска кибербезопасности: два связаны со встроенными приложениями, один — с безопасностью личных данных и еще один — с возможным конфликтом свободы слова. Три риска кибербезопасности были обнаружены в сотовом телефоне Xiaomi, один — в Huawei, а в OnePlus не было обнаружено никаких уязвимостей кибербезопасности.
Риски от приложений производителя
Оценка сотового телефона Huawei 5G показала, что AppGallery, официальный магазин приложений, установленный производителем, автоматически перенаправляет запросы в сторонние интернет-магазины, если в нем нет того, что ищет пользователь. Часть приложений, предлагаемых в таких интернет-магазинах, распознается антивирусными программами или заражена вредоносным ПО.
Расследование также приписало риски кибербезопасности Mi Browser, веб-браузеру на мобильных телефонах Xiaomi. Он использует не только Google Analytics, как и другие браузеры, но и данные китайских датчиков, которые собирают и периодически отправляют данные о 61 функции, касающейся действий пользователя на устройстве.
«На наш взгляд, это избыточный сбор информации о действиях пользователей. Еще одним фактором риска является тот факт, что обширные статистические данные отправляются на серверы Xiaomi в третьих странах, которые не соблюдают общие правила защиты данных, через зашифрованный канал, а также хранятся там», — говорит д-р Таутвидас Бакшис, руководитель отдела инноваций и обучения Национального центра кибербезопасности при Министерстве национальной обороны Литвы.
Возможные нарушения вашей свободы слова
Оценка устройства Xiaomi выявила техническую функциональность, которая может подвергать цензуре содержимое загружаемых материалов на вашем смартфоне. Некоторые приложения, в том числе Mi Browser, периодически загружают список запрещенных ключевых слов от производителя. Если контент, который загружает пользователь, содержит ключевые слова из этого списка, он автоматически блокируется.
На момент проведения расследования в список входило 449 ключевых слов и комбинаций ключевых слов с использованием китайских иероглифов, например, свободный Тибет, голос Америки, демократическое движение, Да здравствует демократический Тайвань и т.д..
«Мы обнаружили, что функция фильтрации контента отключена в сотовых телефонах Xiaomi, поставляемых в Литву, и не осуществляет цензуру контента, однако цензурированные списки ключевых слов все еще периодически обновляются. Устройство технически позволяет активировать функции удаленно в любое время без разрешения пользователя и начать цензуру загруженного контента. Мы не исключаем, что список запрещенных ключевых слов может быть составлен латинскими буквами, а не только китайскими иероглифами», — говорит Т. Бакшис.
Риск безопасности персональных данных
Риск безопасности персональных данных был обнаружен в устройстве Xiaomi, в частности, в облачном сервисе Xiaomi. Для активации услуги необходимо отправить зашифрованное SMS-сообщение для регистрации, оно не сохраняется на устройстве.
«Следователям не удалось прочесть зашифрованное сообщение и проверить его содержание. Автоматические сообщения и контент, скрытые производителем, представляют потенциальную угрозу безопасности личных данных, поскольку позволяют собирать и передавать неидентифицируемые личные данные на серверы в третьих странах», — говорит Т. Бакшис.
Почему именно Huawei, Xiaomi и OnePlus?
Китайские производители Huawei, Xiaomi и OnePlus представили на литовском рынке смартфоны пятого поколения с поддержкой мобильной связи 5G в 2020 году. Согласно международной базе данных уязвимостей и рисков (https://cve.mitre.org), риски кибербезопасности были выявлены на устройствах всех указанных производителей за последние четыре года. В продуктах Xiaomi было обнаружено 9 уязвимостей, касающихся безопасности персональных данных, 144 уязвимости, большинство из которых связано с нарушением функций устройства, были обнаружены в продуктах Huawei, и одна уязвимость была обнаружена в продуктах OnePulse, это касается приложения третьей страны, которое даже отправляет SMS-сообщения, когда устройство было заблокировано.
Полный текст оценки кибербезопасности общедоступен по адресу www.nksc.lt/en/reports.html.
Фото: Национальный центр кибербезопасности при Министерстве национальной обороны.