Il National Cyber Security Center sotto il Ministero della Difesa Nazionale (NKSC) della Lituania ha condotto un'indagine di sicurezza sui dispositivi smart 40G dei produttori cinesi Huawei P5 10G, Xiaomi Mi 5T 8G e OnePlus 5T 5G venduti in Lituania.
“Questo studio è stato avviato al fine di garantire l'uso sicuro dei dispositivi mobili 5G venduti in Lituania e del software in essi contenuto all'interno del nostro Paese. Sono stati selezionati tre produttori cinesi che offrono dispositivi mobili 5G ai consumatori lituani dallo scorso anno e che sono stati identificati dalla comunità internazionale come aventi determinati rischi per la sicurezza informatica", ha affermato Margiris Abukevičius, viceministro della difesa nazionale.
Lo studio ha identificato quattro rischi chiave per la sicurezza informatica. Due riguardano gadget installati sui dispositivi del produttore, uno al rischio di fuga di dati personali e uno a possibili restrizioni alla libertà di espressione. Sono stati identificati tre rischi sul dispositivo di Xiaomi, uno su Huawei, e non sono state identificate vulnerabilità di sicurezza informatica sul dispositivo mobile di OnePlus.
Rischi per i produttori di gadget
Analizzando le prestazioni dello smartphone 5G di Huawei, i ricercatori hanno scoperto che l'app store ufficiale del dispositivo, App App, che non trova l'app richiesta dall'utente, la reindirizza automaticamente a e-mail di terze parti. negozi in cui alcuni programmi antivirus per gadget sono stati classificati come dannosi o infettati da virus. I ricercatori hanno anche attribuito i rischi per la sicurezza informatica al Mi Browser di Xiaomi. Utilizza non solo il modulo standard di Google Analytics in altri browser, ma anche i dati dei sensori cinesi, che raccolgono e inviano periodicamente fino a 61 dati di parametri relativi alle azioni eseguite sul telefono dell'utente.
“Secondo noi, si tratta di informazioni davvero ridondanti sulle azioni degli utenti. Anche il fatto che queste ricche informazioni statistiche vengano inviate e archiviate in un canale crittografato sui server Xiaomi in paesi terzi in cui non si applica il regolamento generale sulla protezione dei dati è un rischio", ha affermato il dott. Tautvydas Bakšys.
Restrizioni alla libertà di espressione
Analizzando le prestazioni del dispositivo Xiaomi, i ricercatori hanno scoperto che aveva la capacità tecnica di censurare i contenuti scaricati su di esso. Anche diversi gadget del produttore sul telefono, incluso il Mi Browser, ricevono periodicamente un elenco di parole chiave bloccate dal produttore. Quando rileva che il contenuto che si desidera inviare contiene parole nell'elenco, il dispositivo blocca automaticamente quel contenuto.
Al momento dello studio, l'elenco includeva 449 parole chiave o gruppi di parole chiave in caratteri cinesi, come "Tibet libero", "Voce d'America", "Movimento democratico", "Longing Taiwan Independence" e altro ancora.
“Abbiamo scoperto che la funzione di filtro dei contenuti era disabilitata sui telefoni Xiaomi venduti in Lituania e non eseguiva la censura dei contenuti, ma gli elenchi venivano inviati periodicamente. Il dispositivo ha la capacità tecnica di attivare questa funzione di filtraggio da remoto in qualsiasi momento all'insaputa dell'utente e di iniziare ad analizzare il contenuto scaricato. Non escludiamo la possibilità che l'elenco delle parole bloccate possa essere compilato non solo in cinese ma anche in caratteri latini", ha aggiunto Bakšys.
Rischio di fuga di dati personali
Il rischio di fuga di dati personali è stato identificato su un dispositivo Xiaomi quando un utente sceglie di utilizzare il servizio Xiaomi Cloud sul dispositivo Xiaomi. Per attivare questo servizio, dal dispositivo viene inviato un messaggio di registrazione SMS crittografato, che non viene salvato da nessuna parte in seguito. “Gli investigatori non sono stati in grado di leggere il contenuto di questo messaggio crittografato, quindi non possiamo dirti quali informazioni ha inviato il dispositivo. Questo invio automatizzato di messaggi e l'occultamento del loro contenuto da parte del produttore pone potenziali minacce alla sicurezza dei dati personali dell'utente, perché a sua insaputa, dati di contenuto sconosciuto possono essere raccolti e trasmessi a server in paesi terzi", ha aggiunto Bakšys.
La Lituania è già incorsa nel rancore della Cina; ad agosto, Pechino ha chiesto di richiamare il suo ambasciatore dopo aver istituito un ufficio di rappresentanza a Taiwan, secondo il quale Taiwan (Repubblica cinese) fa parte della Cina (Repubblica popolare cinese).
