Litouwen raadt gebruik Chinese smartphones af

Het Litouwse National Cyber Security Center (NKSC) stelt dat Chinese smartphones van merken zoals Huawei en Xiaomi beveiligingsrisico’s opleveren. Zo zouden privé-gegevens van gebruikers ingekeken kunnen worden en zou het zelfs mogelijk zijn om bij zoekacties bepaalde zoektermen te blokkeren. Dat blijkt uit een studie van het NKSC naar de Chinese smartphones Huawei P40 5G, Xiaomi Mi 10T 5G en OnePlus 8T. Bij OnePlus zouden geen risico’s gevonden zijn.

“Deze studie is gestart om het veilige gebruik van 5G-mobiele apparaten die in Litouwen worden verkocht en de daarin aanwezige software in ons land te waarborgen”, aldus Margiris Abukevi?ius, vice-minister van Nationale Defensie. “Er zijn drie Chinese fabrikanten geselecteerd die sinds vorig jaar 5G-mobiele apparaten aanbieden aan Litouwse consumenten en die door de internationale gemeenschap zijn geïdentificeerd als bepaalde cyberbeveiligingsrisico's.”

Vier belangrijke risico's

De studie identificeerde vier belangrijke cyberbeveiligingsrisico's. Twee hebben betrekking op apps die op de apparaten van de fabrikant zijn geïnstalleerd, één op het risico van lekken van persoonlijke gegevens en één op mogelijke beperkingen van de vrijheid van meningsuiting. Er werden drie risico's geïdentificeerd bij het apparaat van Xiaomi, één bij Huawei, en geen kwetsbaarheden op het mobiele device van OnePlus.

Bij het analyseren van Huawei's 5G-smartphone-prestaties, ontdekten onderzoekers dat de officiële App App Store van het apparaat als die geen door de gebruiker aangevraagde gadget vindt, deze automatisch omleidt naar websites van derde partijen. Sommige antivirusprogramma’s van deze partijen zijn beoordeeld als kwaadaardig of geïnfecteerd met virussen.

Onderzoekers hebben ook cyberbeveiligingsrisico's toegeschreven aan Xiaomi's Mi Browser. Het gebruikt niet alleen de Google Analytics-module die gebruikelijk is in andere browsers, maar ook de Chinese sensorgegevens, die tot 61 parametergegevens verzamelt en periodiek verzendt over de acties die op de telefoon van de gebruiker worden uitgevoerd. Het feit dat deze rijke statistische informatie wordt verzonden en opgeslagen op een versleuteld kanaal op Xiaomi-servers in derde landen waar de Algemene Verordening Gegevensbescherming (AVG) niet van toepassing is, is ook een risico.

Censureren inhoud

Bij het analyseren van het Xiaomi-apparaat, bleek dat het over technische mogelijkheden beschikte om de gedownloade inhoud te censureren. Zelfs de apps van verschillende fabrikanten, waaronder de Mi Browser, ontvangen periodiek een lijst met te blokkeren trefwoorden van de fabrikant. Wanneer het detecteert dat te verzenden inhoud woorden in de lijst bevat, blokkeert het apparaat die inhoud automatisch. Ten tijde van het onderzoek bevatte de lijst 449 trefwoorden of groepen trefwoorden in Chinese karakters, zoals 'Vrij Tibet', 'Stem van Amerika', 'Democratische beweging', 'Verlangen naar onafhankelijkheid van Taiwan' en meer.

"We ontdekten dat de functie voor het filteren van inhoud was uitgeschakeld op Xiaomi-telefoons die in Litouwen werden verkocht en dat er geen inhoudscensuur werd uitgevoerd”, stelt onderzoeksleider Bakšys, “maar de lijsten werden periodiek verzonden. Het device heeft de technische mogelijkheid om deze filterfunctie op elk moment op afstand te activeren zonder medeweten van de gebruiker en om de gedownloade inhoud te analyseren. We sluiten niet uit dat de lijst met geblokkeerde woorden niet alleen in Chinese, maar ook in Latijnse karakters zou kunnen worden samengesteld.”

Lekken persoonlijke gegevens

Het risico van lekken van persoonlijke gegevens is vastgesteld op een Xiaomi-device wanneer een gebruiker ervoor kiest om de Xiaomi Cloud-service op de Xiaomi te gebruiken. Om deze dienst te activeren, wordt vanaf het apparaat een versleuteld SMS-registratiebericht verzonden, dat later nergens wordt opgeslagen.

Baksys hierover: "Onderzoekers konden de inhoud van dit versleutelde bericht niet lezen, dus we kunnen niet vertellen welke informatie het apparaat heeft verzonden. Deze geautomatiseerde verzending van berichten en het verbergen van hun inhoud door de fabrikant vormt potentiële bedreigingen voor de veiligheid van de persoonlijke gegevens van de gebruiker, omdat zonder zijn medeweten gegevens van onbekende inhoud kunnen worden verzameld en verzonden naar servers in derde landen.”

Reactie Xiaomi

Xiaomi meldt in een reactie op de hoogte tezijn van het rapport "Cybersecurity assessment of 5G-enabled mobile devices" ("Het rapport"), dat onlangs is gepubliceerd door de Cybersecurity en Informatie Authoriteit van Litouwen(NCSC). 

Een woordvoerder meldt:

"We nemen de aantijgingen in het rapport serieus. Hoewel wij de karakterisering van bepaalde bevindingen betwisten, schakelen we een onafhankelijke externe deskundige in om de punten in het rapport te beoordelen. We hebben vertrouwen in de integriteit van onze apparaten en de naleving van wet en regelgeving door ons bedrijf, en we denken dat een derde partij dit zal verifiëren voor onze gebruikers en partners.

In het bijzonder wil Xiaomi twee belangrijke zorgen wegnemen die in het rapport naar voren worden gebracht:

1. Vermeende censuur
De apparaten van Xiaomi beperken of filteren de communicatie van of naar onze gebruikers niet. Xiaomi heeft en zal nooit persoonlijk gedrag van onze smartphonegebruikers beperken of blokkeren, zoals zoeken, bellen, surfen op het web of het gebruik van communicatiesoftware van derden. Het NCSC-rapport beweert niet dat we dat doen.

Het rapport wijst op het gebruik door Xiaomi van software voor advertentiebeheer die de beperkte mogelijkheid heeft om betaalde en push-advertenties te beheren die op apparaten worden geleverd via Xiaomi-apps zoals Mi Video en Mi Browser. Dit kan worden gebruikt om gebruikers te beschermen tegen aanstootgevende inhoud, zoals pornografie, geweld, aanzetten tot haat en verwijzingen die lokale gebruikers kunnen beledigen. Deze praktijk is gebruikelijk in de smartphone- en internetindustrie over de hele wereld [1].

We passen ons beleid voor het advertentiebeheersysteem van tijd tot tijd aan om ervoor te zorgen dat ze voldoet aan de behoeften en verwachtingen van onze gebruikers.

Xiaomi zet zich in om verantwoordelijk en transparant te werken in alle rechtsgebieden. We zetten ons in voor constante verbetering en innovatie, en verwelkomen betrokkenheid met gebruikers, regelgevers en andere geïnteresseerde belanghebbenden.

2. Gegevensverwerking en gegevensoverdracht
Het rapport suggereert ook ten onrechte ongepast data management. Xiaomi voldoet zelfs volledig aan alle vereisten van de AVG (GDPR), inclusief de verwerking, verwerking en overdracht van eindgebruikersgegevens. Onze naleving is van toepassing op alle systemen, apps en diensten. Elk gebruik van persoonlijke gegevens is afhankelijk van de geldige toestemming van de eindgebruiker en is altijd in overeenstemming met de lokale of regionale wet- en regelgeving van de Europese Unie en haar lidstaten.

Xiaomi werkt in overeenstemming met ISO/IEC 27001 Information Security Management Standards en het ISO/IEC 27701 Privacy Information Management System. Xiaomi heeft sinds 2016 ook jaarlijks Enterprise Privacy-certificering van TrustArc ontvangen. Dit zorgt voor de best mogelijke privacy- en beveiligingsbescherming voor de eindgebruiker.

Xiaomi wil nogmaals benadrukken dat we ons inzetten voor de privacy en veiligheid van onze gebruikers. We werken volgens de hoogste normen en voldoen aan alle lokale en regionale voorschriften."

[1] Zie artikel 13 controversiële inhoud van het beleid voor Facebook-advertenties, beschikbaar op https://www.facebook.com/policies/ads/ ; Clausule over politieke inhoud van het Google Ads-beleid, beschikbaar op https://support.google.com/adspolicy/answer/6008942