Литовський національний центр кібербезпеки (ncsc) нещодавно опублікував звіт про перевірку безпеки трьох нових моделей китайського виробництва: huawei p40 5g, xiaomi mi 10t 5g і oneplus 8t 5g. У моделі від xiaomi виявилися програмні модулі, що забезпечують передачу даних китайським властям і цензуру з питань, що офіційний пекін вважає політично важливими. У моделі від huawei замість google play використовується власний аналог, що пропонує перепаковані додатки з потенційно небезпечними модулями. Тільки до oneplus 8t 5g у відомства не знайшлося претензій.
Тут і далі джерело: arstechnica.com
У комплекті пз з xiaomi mi 10t 5g поставляється браузер власної розробки mi browser. У коді програми виявилися два компоненти, які не сподобалися фахівцям ncsc: google analytics і менш відомий модуль sensor data. Вбудований в браузер модуль google analytics зчитує історію відвідувань і пошуку в браузері, після чого ці дані відправляються на сервери xiaomi — і невідомо, що відбувається з ними далі. Модуль активується автоматично при першому запуску телефону або після скидання налаштувань до заводських.
Модуль sensor data, як з’ясували експерти литовського відомства, збирає статистику по 61 параметру: час активації програми, використовувана мова і багато іншого. Статистика шифрується і відправляється на сервери xiaomi в сінгапурі — в цій країні не діє європейський закон gdpr, крім того, тут відзначалися інциденти з порушенням конфіденційності користувачів.
Сім дефолтних додатків на телефоні xiaomi можуть здійснювати моніторинг контенту і блокувати його для користувачів, використовуючи регулярно завантажуваний json-файл
Ще однією дивиною виявилася «тиха» реєстрація номера мобільного телефону, знову ж таки, на серверах в сінгапурі через зашифроване sms-повідомлення при активації хмарних сервісів xiaomi. Номер телефону відправляється незалежно від того, прив’язує користувач свій номер до аккаунту чи ні, при цьому зашифроване sms-повідомлення для користувача не відображається.
Деякі системні програми від xiaomi на mi 10t 5g регулярно скачують файл miadblacklistconfig з сінгапурських серверів. У цьому файлі ncsc виявив 449 записів, що відносяться до релігійних, політичних і соціальних груп. Програмні класи в цих додатках xiaomi використовують даний файл для аналізу мультимедіа, які відтворюються на пристроях, і якщо виявляється збіг з «небажаними» ключовими словами, то такий контент може блокуватися.
Фахівці ncsc виявили, що фільтрація контенту через miadblacklistconfig за фактом відключена на пристроях, зареєстрованих в євросоюзі, але телефони все одно продовжують регулярно завантажувати цей чорний список — експерти впевнені, що фільтрація може бути в будь-який момент віддалено активована.
Ситуація з моделлю huawei p40 5g має суттєві відмінності. Відомство не виявило тут модулів стеження і фільтрації контенту за зразком xiaomi mi 10t 5g, проте структура по експертів знову не порадувала. Найбільш очевидною проблемою пристрою виявилася вимушена заміна google play store власним магазином додатків huawei appgallery.
Як з’ясували фахівці ncsc, якщо користувач шукає тут конкретний додаток, то при відсутності збігів в самому appgallery проводиться перенаправлення на сторонні ресурси: apkmonk, apkpure, aptoide та інші. Встановивши кілька додатків через appgallery і пов’язані з ним сторонні платформи, експерти просканували їх за допомогою інструментів virustotal і виявили потенційно шкідливе пз в трьох додатках.
За даними ncsc, при пошуку додатків в huawei appgallery користувачі часто перенаправляються в сторонні репозиторії
Навряд чи можна з ходу погодитися з висновками ncsc про шкідливе пз, оскільки фахівці відомства не стали проводити додатковий аналіз додатків, які не сподобалися virustotal, та й ймовірність помилкових спрацьовувань завжди присутня. Однак приховане перенаправлення з appgallery на сторонні ресурси дійсно може означати певний ризик для пристрою.
Apkmonk, apkpure і aptoide є досить відомими альтернативами google play store, але вони контролюються менш ретельно. Зокрема, у aptoide є основний репозиторій, який контролюється адміністрацією сервісу, сканується і здається таким же безпечним, як play store. Однак сервіс дозволяє всім бажаючим створювати на платформі власні репозиторії apk: на випадок, якщо додаток може зникнути з платформи google, або для розробників, які хочуть розмістити власні додатки.
Простота створення репозиторію на aptoide і переважання піратських і зламаних додатків в персональних акаунтах створює для деяких легковажних користувачів потенційну загрозу, особливо коли вони не усвідомлюють, що скачують неперевірений контент поза основного безпечного каналу. Навіть користувач, який не шукає піратських додатків, може ненавмисно наштовхнутися на перепакований екземпляр з шкідливими модулями.
Повторимося, претензій до моделі oneplus 8t 5g у фахівців ncsc не виявилося. Користувачам, які з яких-небудь причин не люблять сервіси google, може сподобатися відв’язаний від них huawei p40 5g, але необхідно пам’ятати, що він потенційно менш захищений від шкідливого пз. Що ж стосується xiaomi, то у відповідь на розслідування литовського відомства виробник зробив заяву, що не збирається будь-яким чином втручатися в дії користувача. Однак інструменти для цього на смартфоні все-таки є, і дані, схоже, оновлюються регулярно.
