Litovské národné centrum kybernetickej bezpečnosti (NCSC) nedávno zverejnilo cenný papier hodnotenie troch najnovších modelov smartfónov čínskej výroby – Huawei P40 5G, Xiaomi Mi 10T 5G a OnePlus 8T 5G. Dostatočne odhodlaní nakupujúci v USA môžu nájsť P40 5G na Amazone a Mi 10T 5G na Walmart.com – ale vzhľadom na výsledky NCSC nebudeme poskytovať priame odkazy na tieto telefóny bezpečnostný audit.
Telefón Xiaomi obsahuje softvérové moduly špeciálne navrhnuté na únik údajov čínskym orgánom a na cenzúru médií súvisiacich s témami, ktoré čínska vláda považuje za citlivé. Telefón Huawei nahrádza štandardný obchod s aplikáciami Google Play náhradami tretích strán, o ktorých NCSC zistilo, že obsahujú útržkovité, potenciálne škodlivé prebaľovanie bežných aplikácií.
Huawei P40 je stále prilepený na Android 10, zatiaľ čo Xiaomi sa dodáva s 10, ale dá sa upgradovať na 11. Z výroby bol dodaný iba OnePlus 8T s nainštalovaným systémom Android 11.
OnePlus 8T 5G – pravdepodobne najznámejší a najviac predávaný telefón zo všetkých troch – bol jediný, ktorý unikol kontrole NCSC bez toho, aby sa vztýčili nejaké červené vlajky.
Xiaomi Mi 10T 5G
NCSC zistilo, že sedem predvolených systémových aplikácií v telefóne Xiaomi môže monitorovať mediálny obsah pre blokovanie od používateľa pomocou pravidelne sťahovaného súboru JSON.
Xiaomi Mi 10T 5G sa dodáva s neštandardným prehliadačom s názvom „Mi Browser“. NCSC našiel dvoch komponenty v Mi Browser, ktoré sa mu nepáčili – Google Analytics a menej známy modul s názvom Údaje snímača.
Modul Google Analytics v Mi Browser dokáže čítať z histórie prehliadania a vyhľadávania zariadenia a potom môže tieto údaje odoslať na servery Xiaomi na bližšie nešpecifikovanú analýzu a použitie. Modul Google Analytics sa predvolene aktivuje automaticky pri prvej aktivácii telefónu alebo po akomkoľvek obnovení továrenského nastavenia.
NCSC zistilo, že modul Sensor Data zhromažďuje štatistiky o 61 parametroch súvisiacich s aktivitou aplikácie, vrátane času aktivácie aplikácie, použitého jazyka atď. Tieto štatistiky sú zašifrované a odoslané na servery Xiaomi v Singapure, krajine, na ktorú sa podľa NCSC nevzťahuje GDPR EÚ a je s ňou spojená. nadmerný zhromažďovanie údajov a zneužívanie súkromia používateľov.
NCSC tiež zistilo, že číslo mobilného telefónu používateľa je ticho zaregistrované na serveroch v Singapure prostredníctvom šifrovanej SMS správy pri aktivácii predvolených cloudových služieb Xiaomi. Číslo mobilného telefónu sa odošle bez ohľadu na to, či ho používateľ pripojí k novému cloudovému účtu alebo nie, a šifrovaná SMS nie je pre používateľa viditeľná.
Niekoľko systémových aplikácií Xiaomi na Mi 10T 5G pravidelne sťahuje súbor s názvom MiAdBlackListConfig zo serverov v Singapure. V tomto súbore NCSC našla 449 záznamov identifikujúcich náboženské, politické a sociálne skupiny. Softvérové triedy v týchto aplikáciách Xiaomi používajú MiAdBlackListConfig na analýzu multimédií, ktoré sa môže zobraziť na zariadení a zablokovať tento obsah, ak sú s ním spojené „nežiaduce“ kľúčové slová to.
Hoci NCSC zistilo, že skutočné filtrovanie obsahu cez MiAdBlackListConfig je na telefónoch registrovaných v V Európskej únii telefóny stále pravidelne sťahujú samotný blokovaný zoznam – a agentúra hovorí, že ho možno na diaľku znovu aktivovať kedykoľvek čas.
Huawei P40 5G
NCSC zistila, že používatelia, ktorí hľadajú aplikácie v galérii aplikácií Huawei, sú často presmerovaní na potenciálne nedôveryhodné úložiská tretích strán.
Hoci NCSC nenašlo rovnakú triedu spywaru a modulov na filtrovanie obsahu v Huawei P40 5G ako to bolo v prípade Mi 10T 5G, stále nebol spokojný so softvérovou infraštruktúrou telefónu – a to navždy dôvod.
Najzreteľnejšie problémy P40 5G pramenia z nahradenia obchodu Google Play Store vlastným Huawei. AppGallery obchod, ktorý účtuje ako „bezpečnejšie miesto na získanie všetkých vašich obľúbených aplikácií“. NCSC zistilo, že ak používateľ hľadá AppGallery pre konkrétnu aplikáciu budú v tichosti presmerovaní do obchodov s aplikáciami tretích strán, ak sa v AppGallery nenájde žiadna zhoda sám.
Distribučné platformy tretích strán, ktoré NCSC našla prepojené s AppGallery, zahŕňajú, ale nie sú obmedzené na, Apkmonk, APKPure a Aptoide. NCSC použilo VirusTotal na skenovanie niekoľkých aplikácií nainštalovaných prostredníctvom AppGallery a jej prepojených platforiem tretích strán a potenciálny malvér objavil na troch: All in One sociálne médiá, kalkulačka CNC strojníka na klepanie a aplikácia „Messenger, ľahké všetko v jednom, aplikácia Live Free Chat Pro“.
Nie sme si istí, koľko soli máme vziať so špecifickými zisteniami NCSC o „malvéri“, pretože agentúra nevykonala spätné inžinierstvo ktorákoľvek z troch aplikácií, ktoré sa spoločnosti VirusTotal nepáčili – a falošné poplachy antivírusu v menej známych aplikáciách sa vyskytujú pri niektorých pravidelnosť. Zjavne tiché prepojenie z AppGallery na obchody s aplikáciami tretích strán však predstavuje skutočné riziko kompromitácie zariadenia.
Aj keď sú Apkmonk, APKPure a Aptoide všetky pomerne dobre známe „alternatívne obchody“, sú menej dôkladne spravované ako vlastný Obchod Play od spoločnosti Google. Napríklad Aptoide ponúka svoje vlastné hlavné úložisko – ktoré je spravované, skenované a zdá sa byť rovnako bezpečné ako Obchod Play. Aptoide však tiež umožňuje jednoduché vlastné hosťovanie úložísk APK pre každého, kto chce nahrať svoje vlastné – či už ide o používateľ, ktorý chce „zálohovať“ súbory APK, ktoré by mohli zmiznúť z Obchodu Play, alebo vývojár, ktorý hosťuje svoj vlastný originál softvér.
Jednoduchosť vytvárania úložiska na Aptoide – a rozšírenosť pirátskych a cracknutých aplikácií v jeho používateľských úložiskách – robí neopatrné „nakupovanie“ menej informovaní používatelia predstavujú vážne bezpečnostné riziko, najmä ak si títo používatelia nemusia uvedomiť, že opustili bezpečnosť hlavného prúdu hneď na začiatku. miesto.
Dokonca aj používatelia, ktorí nehľadajú pirátsky softvér, môžu neúmyselne naraziť na prebalenie alebo kopírovanie verzií legitímne aplikácie so zjavnou „legitímnosťou“ pridanou opätovným podpísaním upravenej alebo skopírovanej aplikácie vlastný kľúč.
Závery
Na základe zistení NCSC sa nezdá, že by s telefónom OnePlus bol žiadny problém – čo nie je prekvapením, keďže je to jediná značka z troch, ktorá nebola podrobená opakovanému negatívnemu skúmaniu zo strany nečínskych administratívy.
Obzvlášť dobrodružní spotrebitelia a/alebo spotrebitelia, ktorí nenávidia Google, by sa mohli primerane zaujímať o Huawei P40, ktorý sa zdá viac postihnutý nedostatkom ochranných zábran zabraňujúcich malvéru než skutočnou priamo uloženou cenzúrou a/alebo spyware.
Na záver vám dôrazne odporúčame vyhnúť sa Xiaomi Mi 10T – jeho deaktivovanému, ale pravidelne aktualizovanému zoznamu blokovaných položiek Funkcionalita nám pripadá ako varovanie pred priamym autoritárskym dohľadom, ktorý by nemal byť ľahostajný ignoroval.
