Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 32 reacties

De Indiase luchtmacht IAF heeft medewerkers en hun families verzocht om geen Xiaomi-telefoons te gebruiken. De luchtmacht is bang dat de smartphones data van Indiase gebruikers op Chinese servers opslaan en daardoor een beveiligingsrisico vormen.

Het verzoek is al van enkele weken geleden, maar komt nu pas naar buiten via een artikel in de Indiase krant Economic Times. Het is geen bevel, zo tekent de krant aan, maar een advies aan medewerkers en families. Het advies komt op een moment dat Xiaomi bezig is zijn entree te maken op de Indiase smartphonemarkt met de release van Redmi 1S-smartphone. India is een van de grootste landen ter wereld en heeft honderden miljoenen telefoongebruikers.

De IAF baseert zich op een rapport van het Finse beveiligingsbedrijf F-Secure, dat enkele maanden geleden naar buiten kwam. Daarin concludeerde F-Secure dat Xiaomi-telefoons ongevraagd data naar Chinese servers versturen. Xiaomi ontkende de bevindingen openlijk en maakte zijn chatdienst die de data verstuurde opt-in. De Chinese telefoonbouwer is nu bezig servers te verhuizen naar landen buiten China.

Xiaomi heeft zijn telefoons officieel pas in enkele Aziatische landen uitgebracht.

Moderatie-faq Wijzig weergave

Reacties (32)

Statement van Hugo Barra, let vooral op de conclusie van F-Secure onderaan de post op FB:
Hugo Barra Addresses Xiaomi Users in India about IAF's Intel Report.
See more: http://en.miui.com/thread-57249-1-1.html
Mi India fans,

There have been reports about an IAF circular claiming that Xiaomi phones are a security threat. While we are attempting to reach Indian authorities to learn specifics, we would like to clarify a few points to assure our users that we treat your privacy seriously.

>> 1. We provide secure opt-in Internet services that greatly benefit users

We offer various opt-in Internet services that bring great user benefits, are free of charge, and require personal data to be stored in the cloud. For example:

-- Mi Cloud enables users to back up their data as well as sync it to other devices
-- Cloud Messaging allows users of Mi devices to exchange text messages free of carrier charges by routing messages via IP instead of carrier’s SMS gateway

These services are optional (opt-in). Users can turn them on and off at any time. Users can also opt to use similar services from other Internet companies instead, such as Google, Whatsapp, Dropbox and others.

>> 2. We do not collect user data without permission

We do not collect any data associated with services such as Mi Cloud and Cloud Messaging until the user provides explicit consent by turning on the corresponding service(s). Even after users have turned on these services, they can turn them off at any point of time.

We take rigorous precautions to ensure that all data is secured when uploaded to Xiaomi servers and is not stored beyond the time required.

>> 3. We use very high encryption and security standards to protect user data

-- We encrypt data using AES-128 standard before storing, which makes it practically impossible for anyone to steal this information
-- We protect user passwords and identifiers such as IMEI number using cryptographic one-way hash functions *before* they're uploaded, which means we never actually receive the original information
-- No single person, including Xiaomi employees, can decrypt user data stored in Mi Cloud, even if they get access to the hard drives
-- We use extremely strict access control policies with multiple authorizations being required for engineers building services that access any personal data
-- All access to servers is logged and audited

>> 4. We are moving our Indian users' data to servers outside of China, and to India in 2015

Since early 2014, we have been migrating our services and corresponding data for Indian users from our Beijing data centers to Amazon AWS data centers in Singapore and USA. Parts of this migration will be completed by the end of October, and all of it will be completed by the end of 2014. In 2015, we plan to launch a local data center in India to serve the needs of (and store data for) our Indian users.

These efforts help significantly improve the performance of our services and also provide some peace of mind for users in India, ensuring that we treat their data with utmost care and the highest privacy standards.

Here's a recent post I wrote about this:
https://plus.google.com/1...0934545/posts/9ARVCHczyvb

>> 5. The concerns raised by F-Secure have been fully addressed

We believe the advisory circular issued by IAF is based on events about 3 months back. It refers to the F-Secure test done on the Redmi 1S in July 2014 about the activation of our Cloud Messaging service (which enables users to send text messages for free, similar to other popular messaging services).

We immediately addressed the concerns raised, which was directly acknowledged by F-Secure 4 days later.
Please refer to this post by F-Secure confirming their concerns were addressed:
http://www.f-secure.com/weblog/archives/00002734.html
l

Thank you,

Hugo Barra
Persoonlijke mening:
Ik vind het eigenlijk vreemd dat er geen andere merken door F-Secure zijn getest. Is dit bewust, toeval of is er meer aan de hand? Mijns inziens zullen alle grote smartphone merken data naar hun servers uploaden voor "test doeleinden".

Het ziet er persoonlijk naar uit dat F-secure in alle merken een potentiŽle klant ziet behalve in Xiaomi.
(F-secure verkoopt anti-virus scanners voor mobiele telefoons, aangezien Xiaomi dit al heeft ingebouwd is dat geen potentiŽle klant.)
Is het mogelijk dat er dit soort backdoors inzitten zonder dat dit ooit ontdekt wordt?
Kort antwoord ja.

Maar telefoons uit China worden redelijk verdacht en door veel instanties doorgelicht. Dus de kans dat het gevonden is is erg groot.

Als er erg veel research en geld in steekt dan kun je tegenwoordig erg ver gaan met het verstoppen van backdoors. Je kan zelfs een klein schaduw systeem in hardware ernaast draaien. Ook de bios van chips kan gebruikt worden en de kernel van het OS. De mate van risico op detectie neemt steeds verder toe als je het in de normale software gaat stoppen. Uiteraard moet je de communicatie vermommen en mee laten liften op een ander (het liefst versleuteld) protocol.

Xiaomi zal hier echter geen belang bij hebben en dit dus waarschijnlijk niet doen, als het naar buiten komt kunnen ze hun buitenlandse markt wel vergeten.

De Chinese overheid zal er wel belang bij hebben, maar die kunnen moeilijk ongemerkt hardware aanpassingen doen. Ze kunnen wel een aantal programmeurs van Xiaomi in de pocket hebben en die backdoors in laten bouwen, maar dat zou redelijk snel gedetecteerd kunnen worden door andere programmeurs als ze er op zouden letten.

[Reactie gewijzigd door PuzzleSolver op 27 oktober 2014 09:44]

Ik heb bij veel van dit soort berichten ook het idee dat het voornamelijk door de USA aangespoord wordt om dit soort geruchten en bangmakerij te verspreiden over chinese producten (routers, telefoons), ten eerste vanwege de economische belangen van de eigen producten, maar natuurlijk ook omdat ze graag zelf wel hun spyware en backdoors in routers, USB-poortjes en phones enzo willen blijven stoppen.

Zolang men bang is voor spionage door China, kiest men voor westerse alternatieven, en dan blijkt in de praktijk vaak dat je dan ook niet bepaald veilig bent voor spionage door de westerse inlichtingendiensten... (!)
De US heeft grote baat bij het zwartmaken van Chinese producten. Zoals voorheen Huawei en ZTE het onderspit delfde bij Amerikaanse tenders vanwege het potentiŽle risico. Nagenoeg direct werd aangetoond dat dit uiteindelijk niet waar was en dat deze bedrijven geen backdoors bevatten echter tot op heden mogen ze niet meedoen aan aanbestedingen in de US. Ten gunste van Linksys en andere Amerikaanse netwerk producenten.

Het frappante is echter (en dit was geheel binnen de verwachtingen) de Chinese overheid nu alle Amerikaanse multinationals IT gerelateerd maar ook andere bedrijven, niet meer mogen meedoen bij aanbestedingen voor Chinese staatsbedrijven. Deze zet kost uiteindelijk de Amerikaanse bedrijven zoals IBM beduidend meer dan wat het hun zou kunnen opbrengen in de US. IBM maar ook MS zetten op moment dan ook duizenden mensen aan de kant in China juist hierdoor.

Uiteindelijk is de US met hun grote angstmakerij hier de verliezer spijtig genoeg willen ze dit niet erkennen en draaien ze hun eigen bedrijven de nek om in het buitenland.
Veel succes met het aangeven van die verdachte programmeurs. Zeker in een land als China loopt dat niet goed af voor jou en je familie.
Ze draaien android dat dus opensource is, dus ze kunnen de source aanpassen zoveel ze willen voordat ze deze compilen en op de telefoon zetten. Maar miui is opensource dus het zal niet veel zin hebben om dit te doen gezien de opensource code gecontroleerd kan worden en desnoods door gebruikers zelf compiled en geinstalleerd kan worden waardoor er dus al geen backdoors meer zijn.

In dit artikel is dit trouwens ook helemaal niet het geval ze zijn meer bezorgd over de online opslag dienst die op de telefoon staan, Xiaomi telefoons beschikken over een soort van iCloud dienst waarop men data automatisch kan backuppen indien hij of zij dat wilt. Deze backup functies en dergelijke staan trouwens standaard uit, je moet er ook eerst een account voor maken.

Ik vind het afraden van de telefoons dan ook een beetje overdreven laat staan belachelijk, ze hadden dan beter het gebruik van de offline diensten kunnen afraden.
Tegenwoordig zitten veel van de backdoors niet in het OS maar in de firmware van de apparaten.
Dan is er altijd wel nog iemand die een toestel met netwerk sniffers test om te zien wat er verstuurd wordt. Als er iets versleuteld verstuurd wordt, is dit de dag erna op alle nieuwssites terug te vinden (al dan niet terecht)
Tegenwoordig zitten veel van de backdoors niet in het OS maar in de firmware van de apparaten.
in de meeste gevallen kan je zelf de firmware van bv wifi opensource verkijgen.
dat is wat de meeste dev doen , ze vervangen zoveel mogenlijk met opensource , maar idd soms is er enkel een bin beschikbaar.
Android is opensource, meegeleverde apps hoeven dat niet te zijn. Zo is bijv de Play Store niet open source. Nu is dat van Google, maar misschien dat ze er met backward engineering iets in krijgen of een eigen app-winkel meeleveren. Of andere apps.
Het is mogelijk dat er rare shit zit in de firmware waarvan het nooit 100% duidelijk wordt of het nalatigheid, debug tools of een echte backdoor is.
Bij Samsung was in elk geval laatst zoiets ontdekt: http://beta.slashdot.org/story/199329
Zoals iemand daar ook opmerkte en ik in eerste instantie ook aan dacht, als je remote wipe e.d. wil doen als je telefoon gestolen wordt, dan moet er een backdoor in zitten. Hoe wil je anders dit soort zaken doen, want aan de voorkant zit nu iemand anders.
Was dat onderzoek niet al lang weerlegd dan? Dat meen ik me te herinneren in elk geval. Anyway, met elke willekeurige andere telefoon zal het niet anders zijn. Niet dat dat het goedpraat, integendeel. Maar ik denk dat je ervan uit mag gaan dat elke smartphone wel als spionagemiddel wordt gebruikt door welke dienst dan ook.
Het "probleem" was na 4 dagen aangepast door Xiaomi en getest door F-Secure. Helaas worden berichten vaak niet meer geŁpdate met de oplossing/ het antwoord.

http://www.f-secure.com/weblog/archives/00002734.html
Wanneer stoppen ze daar nou eens mee? Dit is nu het zoveelste probleem van chinese apparaten die standaard vreemde connecties maken met china, ze vernielen de vraag op producten van hun eigen markt op deze wijze.
Voorbeeld: Stel je wilt je telefoon terug vinden via de website van de fabrikant. Hoe denk je dat die website weet waar je telefoon zich bevind?
Dit gaat via de servers van de fabrikant, in dit geval een Chinese fabrikant.
Je kunt je telefoon ook redelijk terug vinden via Google zelf, waar denk je dat deze servers zich bevinden? Waarschijnlijk niet bij jou thuis, maar ergens in Amerika.

IOS heeft dezelfde optie, deze servers staan ook ergens in de wereld en waarschijnlijk niet in ons eigen land.

Als je iets aan zet, dan is het logisch dat de data ergens bewaard moet worden.
Dit geldt bij alle telefoons voor: Backups, synchrnisatie, Find Phone functionaliteit, OTA updates, Social Media zoals FB, Whatsapp (China: Beidu of QQ messenger).

Bij Xiaomi zou je het dus ook weer makkelijk uit kunnen zetten, maar je moet dan niet verwachten dat die functionaliteit nog steeds werkt. Het is dus geen bug, maar een feature waar men graag gebruik van maakt.
Het zou dus interessant zijn dat er een app komt voor je eigen NAS bijvoorbeeld waardoor je die info zelf lokaal kan opslaan.
Hebben onze 'westerse' telefoons niet dezelfde neigingen?
Je gaat er dan ook gelijk maar even vanuit dat deze telefoons daadwerkelijk backdoors bevatten... |:( Makkelijk om zo de concurrent zwart te maken zo, "ja maar die telefoon van de concurrent is van een chinees merk" en je concurrent is uitgeschakeld...
Backdoors/locks, gebeuren nogal regelmatig in chinese apparaten zoals telefoons en tablets. Het afgelopen weekend heb ik gespendeerd aan het maken van een demo lock removal tool voor AllWinners bv nadat diverse mensen op mijn website melding deden van de lock.
tja, en Apple telefoons maken 'vreemde' connecties met de apple servers in de vs, dus hoe is dat verschillend met de chinese xiaomi?
Zie mijn reactie hierboven ;)
Volgens mij is China hier niet de enige in hoor. Ik meen dat ik laatst ook iets las over Apple en Google weet natuurlijk ook alles van zijn gebruikers. Microsoft zal er ook net zo goed aan meedoen.
In dit artikel nieuws: F-Secure: Xiaomi verstuurt persoonlijke informatie ongevraagd naar server wordt aangegeven dat het te maken heeft met MiCloud. Dit is toch een zelfde soort service als meerdere telefoonfabrikanten hebben. Ik noem bijvoorbeeld iCloud van Apple of Google+ services. Die willen ook allemaal een backup van je gegevens maken en slaan dit ook op hun eigen servers op. Pesoonlijk zet ik dit soort diensten ook uit, ik hoef geen online backup en zeker niet bij een bedrijf als Google, Microsoft of Apple.
Ik heb zelf een Hongmi van Xiaomi en het mooie van de MIUI rom is dat je per App kan instellen wat hij mag (machtigingen). Dus volledig toestaan, vragen om toestemming of helemaal blokkeren van verzenden van privacy gegevens. Je kan ook zoeken naar een Permission Manager in android.

[Reactie gewijzigd door tomvdlee op 27 oktober 2014 10:55]

De Indiase luchtmacht IAF heeft medewerkers en hun families verzocht om geen Xiaomi-telefoons te gebruiken. De luchtmacht is bang dat de smartphones data van Indiase gebruikers op Chinese servers opslaat en daardoor een beveiligingsrisico vormen.
Dit kan ik me goed voorstellen.

India en China hebben nog steeds een conflict over Kashmir.
Daarom ga je zeker geen leger informatie opslaan bij een land waar je een conflict mee hebt.

India Takes Tough Stance With China on Kashmir

Zie ook deze Aksai Chin Wikipedia link.

Dit hele verhaal heeft iMO niets met de positie van westerse eigenaars van Chinese smartphones te maken.
Ze hebben net zoveel (on)zekerheid dan als ze het in de VS opgeslagen hebben.

[Reactie gewijzigd door worldcitizen op 27 oktober 2014 10:59]

Het zal een spel zijn van informatie en dis-informatie. Je kunt ook onzin heen en weer sturen, dat weten zowel de chinezen als de indiers. Je kunt er beter vanuit gaan dat alles, w.o. mobieltjes wordt 'getapt', ook hier. De organisatie kan wel willen dat er privacy is, het blijft techniek. Dus meesnuffelen dat zal heus wel gebeuren, door alle partijen. Wat dat betreft komt er een Orwell-achtig sfeertje in.
Zo zie je maar hoeveel economische schade veiligheidsdiensten kunnen aanrichten. Na het uitlekken van bewust inbouwen van backdoors (NSA...), zijn alle grote machen hardware uit andere grote machten (VS, EU, Rusland, China, Japan, India,...) aan het verbieden. Resultaat: binnen de kortste keren is de hele markt ontregeld. Gevolg: elke consument zal meer moeten betalen => bedrijven verkopen minder => minder jobs => consumenten hebben minder geld => nog minder consumenten kunnen het product betalen => bedrijven verkopen minder => ...

Het is natuurlijk wel nog goed voor het milieu, dus op die manier wordt onze veiliigheid toch nog een beetje vooruit geholpen. :)

[Reactie gewijzigd door Robbedem op 27 oktober 2014 18:47]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True