Litauens nasjonale cybersikkerhetssenter (NCSC) har foretatt en teknisk analyse av kinesiske 5G-mobiltelefoner som er solgt i landet og Europa for øvrig.
Resultatet er mest nedslående for Xiaomi etter funn av et innbygd – deaktivert – sensurverktøy i modellen Mi 10T 5G. Den ferske rapporten er også kritisk til Huawei P40, som de hevder har sårbarheter som truer brukernes sikkerhet.
– Vår anbefaling er å ikke kjøpe nye mobiltelefoner fra Kina og å kaste dem som allerede er kjøpt inn raskest mulig, sier Litauens viseforsvarsminister Margiris Abukevicius, ifølge BBC.
Litauen havnet nylig i kinesernes unåde etter å ha opprettet et handelskontor for Taiwan i hovedstaden Vilnius. Kina har svart med å kalle tilbake sin ambassadør i landet, samt sende hjem Litauens ambassadør i Beijing.
Utgående modell
Butikkjeden Power, som tilbyr Mi 10T 5G i enkelte norske butikker, sier til TV 2 at de vil fjerne produktet fra sine hyller dersom påstandene stemmer. Riktignok er dette en utgående modell.
Xiaomi som varemerke har Power ingen planer om å kvitte seg med, gitt informasjonen som foreligger nå, opplyser pressekontakt Siri Røhr-Staff til TV 2.
Olav Nordstoga er salgssjef for Xiaomi her til lands. Han blir i saken tillagt følgende uttalelse:
«Xiaomi-enheter sensurerer ikke kommunikasjon til eller fra brukeren. Xiaomi har aldri og vil aldri begrense eller blokkere noen brukers handlinger, for eksempel å søke, ringe, surfe på internett eller bruke tredjeparts kommunikasjonsprogramvare. Xiaomi overholder EUs generelle databeskyttelsesforordning (GDPR).»
Svarteliste
Programvare som kan hindre fri utveksling av informasjon på systemapper, deriblant Xiaomi-telefonens nettleser, fremgår av en konfigurasjonsfil kalt MiAdBlacklistConfig, som jevnlig blir oppdatert, ifølge rapporten.
Svartelisten besto av 449 sensurerte ord og uttrykk, blant annet knyttet til massakren på Den himmelske freds plass i 1989, terrorgruppa Den islamske stat, uavhengighet for Tibet eller Taiwan og andre formuleringer som regimet i Kina forbyr. Rapporten viser et utdrag av de forbudte uttrykkene, alle i form av kinesiske tegn.
– Denne muligheten i Xiaomi Mi 10T 5G-telefonens programvare er skrudd av for EU-regionen, men kan når som helst fjernaktiveres, hevder NCSC, ifølge nyhetsbyrået Reuters.
Rapporten viser også at enkelte fabrikkinstallerte apper sender statistikk, uten brukerens samtykke eller viten, til servere som er kontrollert av den kinesiske skyleverandøren Tencent.
Videre slår den fast at bruk av Xiaomis skytjeneste utløser en automatisk, skjult og kryptert SMS, som blant annet registrerer telefonnummeret på servere i Singapore.
Advarer mot utrygge appbutikker
Analysen har noe å utsette på Huawei P40 også. Nærmere bestemt at mobilens innebygde App Gallery kan rute brukerne videre til tredjeparts app-butikker.
Det er ingen nyhet at Android-mobiler kan kobles til tredjeparts app-distribusjonskanaler, og rapporten poengterer også at mobilen faktisk advarer brukeren før man da eventuelt går utenfor Huaweis egen appkanal.
Samtidig hevder rapporten at et flertall av mobilappene som er tilgjengelige via slike tredjeparts distribusjonsplattformer er forfalskede utgaver av andre applikasjoner og kan gi økt fare for skadevare.