Het Litouwse NKSC waarschuwde eerder deze week voor privacyproblemen op Xiaomi-telefoons en de Litouwse minister van Defensie zei daarop dat iedereen Chinese telefoons zou moeten weggooien. Waarom onderzocht het NKSC Chinese telefoons en wat is er aan de hand?
In het bericht van het Litouwse cybersecuritycentrum, waar Tweakers over schreef, stond dat er diverse privacyproblemen waren gevonden met twee Chinese telefoons van twee verschillende fabrikanten. De minister van Defensie zei in reactie daarop dat alle gebruikers Chinese telefoons maar beter konden weggooien.
:strip_exif()/i/2003665906.jpeg?f=imagenormal)
De context
Het onderzoek en de uitspraak komen niet uit de lucht vallen. Litouwen is dit jaar in een diplomatiek conflict terechtgekomen met China. Taiwan heeft een ambassade geopend in Litouwen en Litouwen wil voor het einde van het jaar ook een ambassade openen in Taiwan. China ziet Taiwan niet als soeverein land, maar als afvallige provincie.
En dus kwam er snel reactie uit China. Het land riep de ambassadeur terug, beperkte de handel met Litouwen, zorgde ervoor dat er minder goederentreinen naar het land kwamen en Litouwse bedrijven meldden ook dat Chinese bedrijven contracten niet wilden vernieuwen.
Hoewel Litouwen een economie heeft die tweehonderd keer kleiner is dan die van China, doet het land wel iets terug. Onderdeel van die strategie is vermoedelijk dit onderzoek. Chinese smartphonefabrikanten doen wereldwijd goede zaken en het handelsverbod tegen Huawei heeft laten zien dat het straffen van smartphonemakers een diplomatiek krachtig middel is. Deze publiciteit kan zorgen voor een knauw in de populariteit van Chinese smartphonemakers in Litouwen; ze herinnert in elk geval het publiek eraan dat fabrikanten als OnePlus van Chinese origine zijn. Dat wil echter niet zeggen dat het Litouwse onderzoek slecht is gedaan; er kwamen wel degelijk interessante bevindingen uit.
De bevindingen
Het onderzoek van het NKSC richtte zich op drie telefoons: de OnePlus 8T, Huawei P40 Pro en Xiaomi Mi 10T. Alle drie zijn het 5G-telefoons die sinds vorig jaar vrij verkrijgbaar zijn op de Litouwse markt. Voor het onderzoek heeft het NKSC het netwerkverkeer van de telefoons geanalyseerd en zo nodig ook apk's van applicaties gedecompileerd. Over de OnePlus 8T zijn geen interessante bevindingen gedaan. Die telefoon had geen problemen op het gebied van privacy of beveiliging.
Dat lag iets anders bij de Huawei P40 Pro. Die telefoon heeft geen Google Play Store, maar de Huawei App Gallery. Dat is een eigen downloadwinkel die, als een app er niet in staat, doorverwijst naar webpagina's van andere downloadwinkels. Dat zijn onder meer APKPure, APKMonk en Aptoide. Die hebben veelal servers staan buiten het rechtsgebied van de AVG, bijvoorbeeld in de VS of Singapore. Bovendien hebben zij malware gehost, bijvoorbeeld apps die zich voordeden als virusscanner, maar in feite malware bleken te zijn.
:strip_exif()/i/2004634610.jpeg?f=imagenormal)
De reden voor die keuze lijkt niet politiek. Huawei wil dat mensen op de P40 Pro zoveel mogelijk apps kunnen vinden, zelfs als die niet in de App Gallery staan. Mensen doorverwijzen naar downloadwinkels die malafide apps kunnen bevatten, is niet netjes en hopelijk screent Huawei dat in het vervolg goed.
Bij Xiaomi zijn verschillende problematische zaken gevonden, vermeldt het rapport. Ten eerste stuurt de standaardbrowser, Mi Browser, data door naar Google Analytics én naar het Chinese Sensor Data. Naar Sensor Data gaan 61 datapunten. Veel daarvan zijn onschuldig, zoals of gebruikers een donkere modus aan hebben staan of dat ze een bepaalde functie gebruiken. Daar zit ook tussen of mensen een vpn gebruiken en zo ja, welk. Dat is wel gevoelige informatie, want in China kan dat erop duiden of mensen om de censuur van de overheid heen willen komen.
Censuur van de Chinese overheid speelt een centrale rol in het tweede probleem in de software. Er bestaat een MiAdBlacklistConfig, een lijst van 449 termen die een Xiaomi-telefoon downloadt bij de eerste start van een aantal apps. Vervolgens blokkeert de software die termen in bijvoorbeeld de browser, de downloads-app, maar ook de muziek-app en de package-installer.
Die 449 termen zijn termen die de Chinese overheid wil censureren, zoals verwijzingen naar Tibet, naar de protesten in 1989 en organisaties die ijveren voor democratie in China. Als gebruikers die termen zouden zien in een van die apps, haalt de software ze dus weg.
:strip_exif()/i/2004634622.jpeg?f=imagenormal)
Die functie staat standaard uit in de Europese Unie, concludeert het NKSC. Het aanzetten van die functie is zonder tussenkomst van de gebruiker wél mogelijk en in dat geval staat de lijst van termen al op de telefoon.
Nu ligt dat misschien genuanceerder dan het lijkt. Volgens XDA-Developers gaat het om een bestand dat alleen in gebruik is om advertenties te filteren. Dat zou ook verklaren waarom Xiaomi termen die te maken hebben met porno wil blokkeren, want dat is juist waar enkele jaren geleden problemen mee waren. XDA vond de blacklist in de MiVideo-app.
De reactie
Xiaomi heeft intussen gereageerd op de aantijgingen en ontkent de censuur. "Xiaomi heeft nooit en zal nooit het gedrag van onze smartphonegebruikers beperken of blokkeren. Daarbij gaat het onder meer om zoeken, bellen, webbrowsen of het gebruik van communicatiesoftware van derden." Deze ontkenning is natuurlijk logisch, maar niet steekhoudend. Het rapport verwijt Xiaomi niet dat de censuur aanstaat, maar dat hij in de software zit. Dat ontkent Xiaomi níet.
Hoe dat erin gekomen is, is vermoedelijk een kwestie van copy/pasten. Deze functie is logisch in China, waar Xiaomi te maken heeft met een overheid die de termen actief monitort en wil blokkeren. De functie is daar vermoedelijk niet verplicht, maar de overheid zal er wel blij mee zijn. Veel smartphonemakers kopiëren grote delen van hun firmware en apps voor gebruik in volgende telefoons. Zo staat de firmware van telefoons vaak ook vol met drivers voor hardware die niet in de telefoon zit, zoals een breed scala aan camerasensors en andere componenten.
We hebben geprobeerd op een Xiaomi Redmi Note 10 5G de blacklist zelf te vinden, maar dat is niet gelukt. Ook met het decompileren van de browser was dat niet te zien. Dat betekent niet dat hij er niet is; ons zicht op de software van de telefoon is relatief beperkt.
Het is niet voor het eerst dat Xiaomi zoiets overkomt. Zo verzamelde de browser ook data in de incognito-modus. Later zette Xiaomi dat uit. Eerder bleek al dat de Beveiligings-app slecht beveiligd was en virusdefinities binnenhaalde via een onversleutelde verbinding. Die items hebben ogenschijnlijk geen relatie, behalve dat ze allemaal werden opgemerkt in de software van Xiaomi.
:strip_exif()/i/2003247248.jpeg?f=imagegallery)
:strip_exif()/i/2004882114.jpeg?f=fpa)
/i/2006228340.png?f=fpa)
:strip_exif()/i/2004846548.jpeg?f=fpa)
/i/2004838090.png?f=fpa)
/i/2004605670.png?f=fpa)
:strip_exif()/u/290839/crop5b757283a589c_cropped.gif?f=community){kind=small}
/u/269377/arnoud8bit.png?f=community){kind=small}
Ben benieuwd!
:strip_exif()/u/119419/candc-60px.gif?f=community){kind=small}
/u/185949/crop5fed94243cc25_cropped.png?f=community){kind=small}
/u/1542692/crop5ff5796b59da4_cropped.png?f=community){kind=small}
:strip_exif()/u/739395/crop62b99b725c852_cropped.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/703007/crop562136d25bf4f.jpeg?f=community){kind=small}
:strip_exif()/u/16366/NeXTLogo-av.gif?f=community){kind=small}
/u/127261/crop5dcd39ec2f45d_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/808649/crop57bdebef27cbb_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/116283/crop5814e3224425d_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/549902/crop6165a528c831d_cropped.jpg?f=community){kind=small}