Národné centrum kybernetickej bezpečnosti v Litve detailne preverilo 5G mobilné zariadenia, ktoré sú dostupné na ich lokálnom trhu. Jednalo sa o smartfóny Huawei P40 5G , Xiaomi Mi 10T 5G a OnePlus 8T 5G, ktoré sú bežne dostupné aj na Slovensku. Výsledky testov zameraných na kybernetickú bezpečnosť a ochranu osobných údajov ukázali, že minimálne zariadenia od firmy Huawei a Xiaomi obsahujú bezpečnostné riziká.
1. Huawei a AppGallery
Prvá vážna zraniteľnosť bola identifikovaná na zariadení značky Huawei a týka sa aplikácie AppGallery, ktorá slúži ako predinštalovaná náhrada za oficiálny obchod s aplikáciami Google Play. Spoločnosť Huawei aktuálne nemôže spolupracovať s firmou Google kvôli obmedzeniam vlády USA, a preto nahradila všetky predinštalované aplikácie Google svojimi vlastnými. Výskumníkom z Litvy sa podarilo odhaliť, ako aplikácia AppGallery funguje na pozadí.
Obchod s aplikáciami, ktorý prevádzkuje spoločnosť Huawei ani zďaleka neobsahuje rovnaký počet dostupných aplikácií ako oficiálny obchod Google Play. Aby tento problém firma Huawei vyriešila, tak sa rozhodla využiť iné neoficiálne obchody a úložiská s aplikáciami dostupné na internete. Konkrétne sa jedná o webové stránky APKMonk, APKPure a Aptoide.
Aplikácia AppGallery následne funguje tak, že ak používateľ chce vyhľadať aplikáciu, ktorá sa nenachádza priamo v obchode Huawei, tak sa AppGallery pokúsi hľadať aj vo vyššie spomenutých neoficiálnych obchodoch. Ak aplikáciu nájde inde, ponúkne ju používateľovi priamo na stiahnutie a inštaláciu.
Problém je v tom, že tieto neoficiálne obchody s aplikáciami nedostatočne overujú aplikácie a hry, ktoré ponúkajú, a preto sa veľakrát objavujú verzie, ktoré obsahujú zabudovaný malvér. Napríklad na webové stránky APKMonk dokáže prakticky hocikto pridať novú aplikáciu len tým, že odošle vyplnený formulár na e-mailovú adresu prevádzkovateľa služby.
Po tom, ako prebehli testy, ktoré na mobilné zariadenie Huawei P40 5G nainštalovali rôzne aplikácie, sa pri niektorých skutočne potvrdilo, že obsahujú malvér. Pomocou antivírového nástroja VirusTotal bolo zistené, že jedna z inštalovaných aplikácií obsahuje dokonca nebezpečného trójskeho koňa Trojan.Banker, ktorý sa špecializuje na bankové aplikácie nainštalované v telefóne – snaží sa ich nahradiť infikovanými aplikáciami, a následne získať prístup k bankovým účtom a platobným prostriedkom majiteľa telefónu.
Ďalším problémom je, že časť distribučnej siete aplikácií cez AppGallery sa nachádza v krajinách, ktoré nepodliehajú reguláciám na ochranu osobných údajov GDPR. To znamená, že nainštalovaná aplikácia môže bez súhlasu majiteľa telefónu zbierať jeho osobné údaje, a tie zasielať do tretích krajín.
2. Internetový prehliadač Mi Browser a Xiaomi Cloud
Druhý problém sa týka zariadenia Xiaomi Mi 10T 5G a štandardne predinštalovaného a predvoleného internetového prehliadača Mi Browser. Výskumníkom sa podarilo zistiť, že internetový prehliadač využíva až dve služby na zbieranie analytických dát o aktivitách používateľa. Okrem bežne používaného Google Analytics je použitá aj čínska služba Sensor Data, ktorá zbiera až 61 rôznych informácií o aktivite používateľa prehliadača Mi Browser.
Medzi údajmi, ktoré sú posielané do služby Sensor Data, sú aj informácie o tom, aký vyhľadávač používa majiteľ telefónu, koľko dostal notifikácií od Facebooku, koľkokrát klikol na záložku noviniek, alebo koľkokrát sa prihlásil na stránke YouTube.
Tieto dáta sú odosielané na servery v Číne, kde nepodliehajú pravidlám o ochrane osobných údajov GDPR. Medzi klientov Sensor Data patria najväčšie technologické firmy v Číne. Tie môžu mať následne prístup k zozbieraným dátam a ďalej ich spracovávať a využívať.
Tretí identifikovaný problém predstavuje používanie služby Xiaomi Cloud, rizikom je konkrétne registrácia. Ak si chce majiteľ telefónu službu aktivovať, tak sa zo zariadenia odošle zašifrovaná SMS správa na servery v Singapure. Problém je v tom, že správa sa odosiela na pozadí a bez vedomia majiteľa telefónu, neostáva uložená ani v odoslaných správach – je ihneď vymazaná.
Výskumníkom sa nepodarilo správu dešifrovať a zistiť jej obsah. Avšak, keďže sú dáta opäť odosielané do tretej krajiny, existuje tu potenciálne riziko, že SMS správa obsahuje osobné údaje majiteľa telefónu.
3. Xiaomi a cenzúra obsahu
Posledný identifikovaný problém sa týka opäť smartfónu od firmy Xiaomi. Bolo zistené, že si zariadenie na pravidelnej báze sťahuje súbor MiAdBlacklistConfig, ktorý obsahuje zoznam tzv. zakázaných fráz (blacklist). Tento súbor následne využívajú predinštalované aplikácie v telefóne, mimo iné aj predvolený internetový prehliadač Mi Browser alebo program, ktorý sa stará o sťahovanie dát, multimédií a inštaláciu iných aplikácií.
Zoznam zakázaných fráz obsahoval napríklad: Free Tibet, Democratic Movement, The Voice of America, Women’s Committee a mnohé ďalšie témy, ktoré sú v Číne zakázané alebo cenzurované. Ďalšou analýzou bolo zistené, že táto funkcia cenzúry je aktuálne deaktivovaná v zariadeniach určených pre európsky trh. Avšak výrobca mobilných telefónov ju môže aktivovať na diaľku, bez vedomia používateľa.
To, či bude pretrvávať dôvera v smartfóny čínskych výrobcov, necháme na zákazníkov. Z nášho uhla pohľadu vám minimálne neodporúčame používať predinštalovanú aplikáciu AppGallery v zariadeniach značky Huawei, pri ktorej hrozí, že vám nainštaluje malvér do vášho zariadenia.
Článok bol pripravený v spolupráci so službou SAFELab – kurzy IT bezpečnosti.