Само преди седмица, властите в Литва обявиха, че 5G смартфоните на някои китайски производители може да представляват риск за киберсигурността на потребителите в Европа. Започнаха призиви да не се купуват подобни устройства, но реално доклада на литовските държавни експерти не казва нищо ново.
Логично, компаниите, които чиито модели бяха замесени отрекоха всички обвинения. Както ще видим, част от обвиненията покриват технически изисквания, с които китайските производители са принудени да се съобразяват, когато продават на родна почва. Просто тези функционалности не са активни в регионите извън Китай.
Литовското разследване
Националният център по киберсигурност на Литва взима три 5G модела – Huawei P40, Xiaomi Mi 10T и OnePlus 8T. След което започват да преглеждат техните функции за надежден обмен на данни или други пропуски, които могат да доведат до изтичане на такива.
От трите, смартфонът на Xiaomi е с най-много въпросителни относно сигурността на данните, следван от опасения при Huawei. OnePlus не привлича интереса на литовските експерти, като според тях, при него няма потенциални проблеми със сигурността на данните.
Xiaomi създава притеснения покрай своя браузър по подразбиране Mi Browser, който се оказва, че има функционалност за филтриране на съдържанието и облачните услуги Xiaomi Cloud. При Huawei, очаквано това е отделният магазин за приложения AppGallery, който беше създаден, за да компенсира липсата на Google Play при устройствата на китайския гигант.
Браузър с екстра възможности
Mi Browser е най-интересното разкритие на литовските експерти. Той има вградена функционалност да филтрира определен тип съдържание и то за определен тип потребители. Според разследващите, това дава предпоставка за налагане на цензура и ограничаване на свободата на словото. Например, да се блокира съдържание, което включва определени ключови думи, като „Свободен Тибет“, „Тайван“ и др. чувствителни за китайските власти теми. Това е задължително изискване за производителите, ако искат техния софтуер да се предлага в Китай.
Литовските експерти признават, че функцията е деактивирана за устройствата на Стария континент, но изразяват опасения, че тя може да се активира дистанционно. В случая, конфигурационните файлове за нея са заложени в сървъри на Tencent в Сингапур, които Xiaomi ползва активно. Китайският гигант потвърди, че тази функционалност не е активна на други пазари извън местния. Любопитно е, че след регистрация в програмата Xiaomi User Experience – данните от Mi браузъра се препращат на две места. Едното е в европейските сървъри, другото са тези в Сингапур.
Обичайният заподозрян Huawei
Изненадващо в разследването на Литва Huawei заема второ място по опасения за киберсигурност. Китайският гигант е традиционният обект на подобни атаки от страна на САЩ и някои от най-верните им съюзници. „Прегрешението“ сега е AppGallery и фактът, че целия софтуер на P40 минава през този магазин. Още при появата му, някои специалисти по киберсигурност предупреждаваха, че всичко извън лицензирания Android и Google Play може да крие опасности.
Основната причина за това е процесът по одобрение от страна на американския гигант, което дава поне някакви гаранции, че приложенията не са вируси. Литовските специалисти сега предупреждават, че ако някоя програма не бъде намерена в AppGallery, магазинът препраща към друг, откъдето то да бъде свалено. Това увеличава рискът от потенциален пробив през компрометирани приложения. От друга страна е начин на Huawei да компенсира липсата на някои от популярните такива в своя магазин.
Лесно преодоляване
Изводите от доклада са едновременно интересни, но не са повод за паника. Както споменахме, за рисковете при AppGallery се знаеше от самото пускане на магазина. Опасенията многократно са опровергавани от Huawei, а и досега не са твърдо потвърждавани от киберспециалистите.
За проследяващите алгоритми в различните китайски софтуери – също. Последните обикновено са деактивирани извън Китай. Има изключения, но те са редки случаи. Например, партида смартфони Nokia, които при включване директно изискват регистрация в Китай. Причината, е че тези модели са били предназначени за този пазар и са били доставени по грешка в Европа.
Xiaomi лесно може да се преодолее проблема – просто се инсталира алтернативен браузър. За китайските производители като цяло може да се избегне регистрацията към облачните им услуги. Това не винаги може да бъде решение, като например за фитнес гривните такава стъпка е задължителна. При Huawei имаме по-сериозен проблем, тъй като моделите им от последните две години нямат много алтернативи, които не са под контрола на китайския гигант.
Трябва да се отбележи и факта, че Google и Apple също изнасят данните си в свои центрове за данни. Европейските регулации намалиха теча на информация отвъд Стария континент, но това не пречи на някои компании да се опитват да ги заобикалят частично.
