Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos (NKSC) atliko Lietuvoje parduodamų Kinijos gamintojų „Huawei P40 5G“ , „Xiaomi Mi 10T 5G“ ir „OnePlus 8T 5G“ išmaniųjų 5G įrenginių saugumo tyrimą.

„Šis tyrimas buvo inicijuotas siekiant užtikrinti saugų Lietuvoje parduodamų 5G mobiliųjų įrenginių ir juose esančios programinės įrangos naudojimą mūsų šalies viduje. Buvo pasirinkti trys Kinijos gamintojai, kurie nuo praėjusių metų Lietuvos vartotojams siūlo įsigyti 5G mobiliuosius įrenginius ir kurie tarptautinės bendruomenės buvo įvardinti kaip keliantys tam tikras kibernetinio saugumo rizikas“, – teigia Krašto apsaugos viceministras Margiris Abukevičius.

Tyrimo metu buvo nustatytos 4 esminės kibernetinio saugumo rizikos. Dvi susijusios su gamintojo įrenginiuose įdiegtomis programėlėmis, viena su asmens duomenų nutekėjimo rizika ir viena su galimais žodžio laisvės ribojimais. „Xiaomi“ gamintojo įrenginyje nustatytos trys rizikos, „Huawei“ – viena, „OnePlus“ gamintojo mobiliajame įrenginyje kibernetinio saugumo pažeidžiamumų identifikuota nebuvo.

Gamintojų programėlių rizikos

Analizuodami „Huawei“ išmaniojo 5G telefono veiklą, tyrėjai nustatė, kad įrenginyje įdiegta oficiali gamintojo mobiliųjų programėlių parduotuvė „App Gallery“, neradusi vartotojo pageidaujamos programėlės, automatiškai nukreipia jį į trečiųjų šalių el. parduotuves, kuriose dalis programėlių antivirusinių programų buvo įvertintos kaip kenkėjiškos ar užkrėstos virusais.

Kibernetinio saugumo riziką tyrėjai priskyrė ir „Xiaomi“ gamintojo naršyklei „Mi Browser“. Ji naudoja ne tik įprastą kitose naršyklėse „Google Analytics“ modulį, bet ir kinišką „Sensor Data“, kuris renka ir periodiškai išsiunčia net 61 parametro duomenis apie vartotojo telefone atliekamus veiksmus.

„Mūsų vertinimu, tai yra tikrai perteklinė informacija apie vartotojo veiksmus. Riziką kelia ir faktas, kad ši gausi statistinė informacija šifruotu kanalu siunčiama ir saugoma „Xiaomi“ serveriuose trečiosiose šalyse, kur negalioja Bendrasis duomenų apsaugos reglamentas“, – teigia tyrimą atlikusio NKSC Inovacijų ir mokymų skyriaus vadovas dr. Tautvydas Bakšys.

Galimi žodžio laisvės ribojimai

Analizuodami „Xiaomi“ įrenginio veikimą, tyrėjai nustatė, kad jame yra įdiegta techninė galimybė vykdyti į jį atsisiunčiamo turinio cenzūrą. Net kelios telefone esančios gamintojo programėlės, tarp kurių yra ir naršymo programėlė „Mi Browser“, periodiškai gauna gamintojo sudaromą blokuojamų raktažodžių sąrašą. Užfiksavus, kad vartotojo pageidaujamame atsiųsti turinyje yra sąraše esantys žodžiai, įrenginys tokį turinį automatiškai blokuoja.

Tyrimo metu sąraše buvo 449 raktažodžiai ar jų grupės kinų rašmenimis, tokie kaip „Laisvas Tibetas“, „Amerikos balsas“, „demokratinis judėjimas“, „tegyvuoja Taivano nepriklausomybė“ ir kt.

„Nustatėme, kad Lietuvoje parduodamuose „Xiaomi“ telefonuose turinio filtravimo funkcija buvo atjungta ir turinio cenzūros nevykdė, tačiau sąrašai buvo periodiškai atsiunčiami. Įrenginys turi techninę galimybę, vartotojui nežinant, bet kurią minutę nuotoliniu būdu šią filtravimo funkciją aktyvuoti ir pradėti analizuoti atsiunčiamą turinį. Neatmetame galimybės, kad blokuojamų žodžių sąrašas galėtų būti sudaromas ne tik kinų, bet ir lotynų rašmenimis“, – sako T. Bakšys.

Asmens duomenų nutekėjimo rizika

Asmens duomenų nutekėjimo rizika buvo nustatyta „Xiaomi“ įrenginyje vartotojui pasirinkus naudotis „Xiaomi“ debesijos paslauga „Xiaomi Cloud“. Norint aktyvuoti šią paslaugą, iš įrenginio yra išsiunčiama šifruota SMS registracijos žinutė, kuri vėliau niekur nėra išsaugoma.

„Tyrėjams nepavyko perskaityti šios šifruotos žinutės turinio, todėl negalime pasakyti, kokią informaciją įrenginys išsiuntė. Šis automatizuotas žinučių siuntimas ir gamintojo įdiegtas jų turinio slėpimas kelia potencialias grėsmes dėl vartotojo asmens duomenų saugumo, nes jam nežinant gali būti renkami ir perduodami nežinomo turinio duomenys į serverius trečiosiose šalyse“, – teigia T. Bakšys.

Kodėl šie gamintojai

2020 m. Kinijos gamintojai „Huawei“, „Xiaomi“ ir „OnePlus“ Lietuvos rinkai pristatė penktos kartos 5G mobiliojo ryšio technologiją palaikančius išmaniuosius mobiliuosius telefonus. Remiantis tarptautine kibernetinių pažeidžiamumų duomenų baze (Common Vulnerabilieties and Exposures, ketverius metus visų šių gamintojų įrenginiuose buvo nustatytos kibernetinio saugumo rizikos. „Xiaomi“ produkcijoje buvo fiksuoti 9 pažeidžiamumai, susiję su asmens duomenų nutekinimo rizikomis, „Huawei“ – 144 pažeidžiamumai, kurių dauguma buvo susiję su įrenginių funkcionalumo trikdymu, „OnePulse“ – vienas pažeidžiamumas dėl trečiųjų šalių programėlės, siunčiančios SMS žinutes, net tada, kai mobilusis įrenginys yra užrakintas.

Su Lietuvoje tiekiamų 5G ryšio technologiją palaikančių mobiliųjų įrenginių kibernetinio saugumo vertinimu galima parsisiųsti iš čia.

Papildyta:

„Xiaomi“ komentaras

„Xiaomi“ susipažino su „5G ryšio technologiją palaikančių mobiliųjų įrenginių kibernetinio saugumo vertinimo“ ataskaita, kurią neseniai paskelbė Nacionalinis kibernetinio saugumo centras (NKSC, Lietuva).

„Xiaomi“ rimtai vertina ataskaitoje pateiktus teiginius. Kadangi mes ginčijame tam tikrų išvadų apibūdinimą, įtraukiame nepriklausomą trečiosios šalies agentūrą, kad įvertintų ataskaitoje iškeltus klausimus. Esame įsitikinę mūsų įrenginių vientisumu ir mūsų verslo atitikties praktika Lietuvoje ir visoje Europoje, ir manome, kad nepriklausoma ir profesionali trečiųjų šalių agentūra tai patvirtins mūsų partneriams ir klientams.

Visų pirma, „Xiaomi“ norėtų išspręsti du pagrindinius ataskaitoje iškeltus klausimus:                                                                                  

1. Tariama cenzūra.

„Xiaomi“ įrenginiai neriboja ir nefiltruoja naudotojų gaunamos ar siunčiamos komunikacijos. „Xiaomi“ niekada neribojo ar neužblokavo ir niekada neribos ar neužblokuos mūsų išmaniųjų telefonų naudotojų asmeninio elgesio, pvz., paieškos, skambučių, naršymo internete ar trečiosios šalies komunikacijos programinės įrangos naudojimo. NKSC ataskaitoje nėra teigiama, kad mes tai darome.

Ataskaitoje nurodoma, kad „Xiaomi“ naudoja reklamos valdymo programinę įrangą, kuri turi ribotas galimybes valdyti „paid-and-push“ reklamą, siunčiamą į įrenginius per „Xiaomi“ programėles, pvz., kaip „Mi Video“ ir „Mi Browser“. Tai gali būti naudojama, siekiant apsaugoti naudotojus nuo įžeidžiančio turinio, pvz., pornografijos, smurto, neapykantos kurstymo ir informacijos, galinčios įžeisti vietinius naudotojus. Ši praktika yra įprasta išmaniųjų telefonų ir interneto pramonėje visame pasaulyje[1].

Reguliariai peržiūrime savo reklamos valdymo sistemos politiką, kad įsitikintume, jog ji atitinka mūsų vartotojų poreikius ir lūkesčius. „Xiaomi“ veikia labai atsakingai ir skaidriai visose jurisdikcijose. Esame įsipareigoję nuolat tobulėti ir diegti naujoves bei palankiai vertiname bendradarbiavimą su naudotojais, reguliavimo institucijomis ir kitomis suinteresuotosiomis šalimis.

2. Duomenų tvarkymas ir perdavimas

Ataskaitoje taip pat klaidingai minimi netinkamai tvarkomi duomenys. „Xiaomi“ visiškai atitinka visus BDAR reikalavimus, įskaitant galutinio naudotojo duomenų tvarkymą, apdorojimą ir perdavimą. Mūsų atitiktis taikoma visoms sistemoms, programoms ir paslaugoms. Bet koks asmens duomenų naudojimas priklauso nuo galutinio naudotojo galiojančio sutikimo ir visada atitinka vietos ar regioninius Europos Sąjungos ir jos valstybių narių įstatymus ir kitus teisės aktus.

„Xiaomi“ veikia pagal ISO/IEC 27001 informacijos saugumo valdymo standartus ir ISO/IEC 27701 privatumo informacijos valdymo sistemą. Nuo 2016 m. „Xiaomi“ kasmet gauna „TrustArc“ įmonės privatumo sertifikatą. Tai užtikrina geriausią įmanomą privatumo ir saugumo apsaugą galutiniam vartotojui.

„Xiaomi“ dar kartą norėtų pabrėžti, kad esame pasiryžę užtikrinti savo vartotojų privatumą ir saugumą. Mes dirbame laikydamiesi aukščiausių standartų ir laikomės visų vietinių bei regioninių taisyklių.

Pasidalinkite su draugais

Aut. teisės: Lrytas.lt

Komentarai (9)