Два от водещите производители на смартфони в света – Xiaomi и Huawei, продават на територията на ЕС 5G устройства от високия среден клас, които имат недопустими пропуски в сигурността и защитата на личните данни, става ясно от мащабно изследване на Националния център за киберсигурност на Литва.

На подробен преглед са подложени два популярни модела от миналата година – Xiaomi Mi10T 5G и Huawei P40 5G. И двата телефона предлагат комбинация от мощен процесор, качествена камера и екран от висок клас на добра цена. Те са предлагани и у нас, включително и от трите мобилни оператора (Vivacom, A1, Telenor).

Оказва се, че евтиното за джоба струва скъпо другаде. „Нашата препоръка е да не купувате китайски смартфони и да се отървете от вече закупените възможно най-бързо“, заяви зам.-министърът на отбраната на Литва Маргирис Абукевициус, цитиран от Би Би Си.

И двете засегнати компании отричат обвиненията.

Снимка: nksc

Трябва да се отбележи, че трето тествано устройство – OnePlus 8T 5G, е без установени „дупки“ в сигурността.

Цензор в джоба

Особено впечатляващ е случаят с модела на Xiaomi – производител с амбиция да бъде №1 в глобален план. Оказва се, че системните приложения – уеб браузър, антивирусна програма, магазин за визуални теми и т.н. редовно обновяват през отдалечен сървър файл на име MiAdBlacklistConfig. В него, освен някои вулгарни думи и други логични за цензуриране фрази, са събрани и китайските наименования на личности, религиозни и политически групи, граждански движения и други – напр. „Гласът на Америка“, „Свобода за Тибет“, „Да живее демократичен Тайван“ и т.н.

Когато бъде открито съвпадение с „черния списък“ в посещаван сайт или мултимедийно съдържание, достъпът до забранените думи автоматично се преустановява.

„Установихме, че филтрирането на съдържанието е деактивирано при телефоните на Xiaomi на литовския пазар, но списъците продължават да се обновяват автоматично. Технически е възможно дадено устройство да бъде активирано дистанционно във всеки един момент без съгласието на потребителя. Не изключваме и възможността забранените ключови думи да бъдат не само на китайски, но и на други езици“, посочи д-р Таутяс Бакшис от центъра по киберсигурност към военното министерство на балтийската страна.

Специализираният сайт XDA-Developers в свой материал свързва филтрирането на съдържание с отдавнашен проблем на Xiaomi - рекламите. Компанията е пионер в това да монетизира устройствата си чрез търговско съдържание в системните приложения. Дълго време, обаче, се появяваха и твърде неподходящи реклами, което може да е довело до вкарването на вторично филтриране на локално ниво.

Това далеч не е единственият проблем на Mi10T 5G. Системните приложения изпращат аналитични данни към китайския провайдер Tencent на територията на страни, които не са в обхвата на споразумението за защита на личните данни GDPR. Така за Xiaomi става възможно да проследи пълната интернет история на всеки потребител на вградения Mi Browser, а също и цели 61 други параметъра на поведението на дадения ползвател.

Когато алтернативата не е алтернатива

Лишен от услугите на Google, китайският производител Huawei се принуди да създаде своя алтернативна дистрибуция на операционната система Android. Основен елемент в нея е магазинът за приложения AppGallery.

Китайската компания изля милиони долари в опит да привлече разработчиците на най-популярните програми, но все още каталогът е далеч от пълнота.

Оказва се при литовския анализ, че Huawei компенсират това с изключително рискова практика – при търсене на приложение, което не е налично в AppGallery, потребителят бива насочен към някой от „алтернативните“ сайтове за сваляне на мобилен софтуер. Това става без никакво сканиране на външното съдържание и резултатът е очакван – редовите ползватели се оказват на платформи без никаква защита на личните данни, които освен това са пълни с дубликати на популярните приложения, както и с инфектирани с различни вируси файлове, твърдят авторите на документа.

Какво отговарят Xiaomi и Huawei

Очаквано, и двете китайски компании се противопоставиха на изводите на литовските власти. „Устройствата на Xiaomi не цензурират комуникацията от и до потребителите. Xiaomi никога не е ограничавала и няма да ограничава личните действия на своите потребители като търсене на информация, отваряне на уеб страници или използване на чат приложения“, заяви говорител на компанията пред Би Би Си.

Тя допълни, че фирмата отговаря на условията на GDPR.

От Huawei също подчертаха, че спазват законите и регулациите на всички държави, в които работят. От китайската компания подчертаха, че AppGallery събира само най-необходимите данни от потребителите, а при инсталация на нови приложения се правят нужните проверки, за да се гарантира безопасността на устройството.

По-късно компанията изпрати и позиция до bTV. Публикуваме я без редакторска намеса:

Huawei винаги е спазвал принципите за почтеност, както и законите и разпоредбите на страните и регионите, в които оперира, и счита киберсигурността и защитата на личния живот и данните за основен приоритет. Компанията има силни традиции в областта на киберсигурността в повече от 170 държави и региони и обслужва над 3 милиарда потребители. Данните никога не се обработват извън Huawei устройството. Huawei се води от принципите на прозрачност относно събираните от клиентите необходими данни, които са сведени до минимум и се използват единствено за подобряване на персонализирането и потребителското изживяване. Що се касае до използването на данни на Huawei телефони, AppGallery събира и обработва само данните, които са необходими, за да позволи на своите потребители да търсят, инсталират и управляват приложения на трети страни, по същия начин, както другите магазини за приложения. Petal Search и AppGallery са сертифицирани от European Privacy Seal за съответствие с GDPR. Huawei ясно заявява, че тези приложения са от обществено достъпни източници, така че потребителите имат възможност да изтеглят приложението. Huawei извършва проверка за сигурност, за да се увери, че потребителят изтегля само приложения, които са безопасни и работещи на HMS устройства. Ние зачитаме законите на всяка страна и регион, в които оперираме, и се грижим за нашите клиенти, нашите партньори и всички хора, които използват и са засегнати от използването на нашите технологии. Работата с данни също се проверява внимателно.