Een opmerkelijke uitkomst van een onderzoek naar Xiaomi-toestellen. Uit dit onderzoek blijkt dat Xiaomi in kan grijpen met censuur, maar er zijn nog veel meer beveiligingsrisico’s.
Censuur bij Xiaomi
Een cybersecurity-centrum in Litouwen is gestuit op een opmerkelijke functie in onderzoek naar smartphones. Op de Xiaomi Mi 10T 5G heeft het centrum drie beveiligingsrisico’s gevonden. Een opvallend beveiligingsprobleem is dat content gecensureerd kan worden door Xiaomi.
Het gaat om verschillende apps van Xiaomi zelf die met regelmaat een lijst downloaden waarop termen staan die geblokkeerd worden. Volgens het Litouwse onderzoeksbureau wordt deze content geblokkeerd als bijvoorbeeld een zoekopdracht een verboden woord invoert. Het is de verwachting dat het gaat om informatie over bijvoorbeeld de onafhankelijkheid van Taiwan, Tibet en andere onderwerpen die gevoelig liggen in China.
Volgens het onderzoek is de censuurfunctie niet direct actief op toestellen die in Europa (of in ieder geval Litouwen) verkocht worden, maar zou deze op afstand geactiveerd kunnen worden door de fabrikant. De censuurfunctie is mogelijk wel geactiveerd op de smartphones die in China verkocht worden door Xiaomi.
Andere risico’s
Een ander beveiligingsrisico heeft te maken met het verzamelen van data. Volgens de onderzoekers worden de handelingen van een gebruiker op de telefoon gestuurd naar de Chinese versie van Google Analytics. Het zou volgens het Litouwse NKSC gaan om overbodige informatie. Tevens wordt een SMS verzonden als je je aanmeldt voor Xiaomi Cloud. De inhoud van het bericht dat gestuurd wordt, kan door onderzoekers niet gelezen worden, waardoor het onduidelijk is wat er precies gestuurd wordt.
In het onderzoek van NKSC zijn nog meer toestellen onderzocht. Hierbij viel bij de Huawei P40 Lite op, dat Huawei voor het downloaden gebruikers soms doorstuurt naar een app-winkel van een derde aanbieder. Dit kunnen soms antivirus-apps zijn, waar eigenlijk malware in zit. Tevens is de OnePlus 8T onderzocht; hier zijn geen veiligheidsrisico’s in gevonden.
Net als in België worden Chinese smartphones in Litouwen bestempeld als risicotelefoons. Om die reden is door het cybersecurity-centrum gestart met het onderzoek.
Update 27 september 17:03 uur:
Xiaomi heeft een statement uitgebracht over de vermeende censuur waarover dit artikel gaat. De reactie is als volgt;
Xiaomi is op de hoogte van het rapport “Cybersecurity assessment of 5G-enabled mobile devices” (“Het rapport”), dat onlangs is gepubliceerd door de Cybersecurity en Informatie Authoriteit van Litouwen(NCSC).
We nemen de aantijgingen in het rapport serieus. Hoewel wij de karakterisering van bepaalde bevindingen betwisten, schakelen we een onafhankelijke externe deskundige in om de punten in het rapport te beoordelen. We hebben vertrouwen in de integriteit van onze apparaten en de naleving van wet en regelgeving door ons bedrijf, en we denken dat een derde partij dit zal verifiëren voor onze gebruikers en partners.
In het bijzonder wil Xiaomi twee belangrijke zorgen wegnemen die in het rapport naar voren worden gebracht:
1. Vermeende censuur
De apparaten van Xiaomi beperken of filteren de communicatie van of naar onze gebruikers niet. Xiaomi heeft en zal nooit persoonlijk gedrag van onze smartphonegebruikers beperken of blokkeren, zoals zoeken, bellen, surfen op het web of het gebruik van communicatiesoftware van derden. Het NCSC-rapport beweert niet dat we dat doen.Het rapport wijst op het gebruik door Xiaomi van software voor advertentiebeheer die de beperkte mogelijkheid heeft om betaalde en push-advertenties te beheren die op apparaten worden geleverd via Xiaomi-apps zoals Mi Video en Mi Browser. Dit kan worden gebruikt om gebruikers te beschermen tegen aanstootgevende inhoud, zoals pornografie, geweld, aanzetten tot haat en verwijzingen die lokale gebruikers kunnen beledigen. Deze praktijk is gebruikelijk in de smartphone- en internetindustrie over de hele wereld [1].
We passen ons beleid voor het advertentiebeheersysteem van tijd tot tijd aan om ervoor te zorgen dat ze voldoet aan de behoeften en verwachtingen van onze gebruikers.
Xiaomi zet zich in om verantwoordelijk en transparant te werken in alle rechtsgebieden. We zetten ons in voor constante verbetering en innovatie, en verwelkomen betrokkenheid met gebruikers, regelgevers en andere geïnteresseerde belanghebbenden.
2. Gegevensverwerking en gegevensoverdracht
Het rapport suggereert ook ten onrechte ongepast data management. Xiaomi voldoet zelfs volledig aan alle vereisten van de AVG (GDPR), inclusief de verwerking, verwerking en overdracht van eindgebruikersgegevens. Onze naleving is van toepassing op alle systemen, apps en diensten. Elk gebruik van persoonlijke gegevens is afhankelijk van de geldige toestemming van de eindgebruiker en is altijd in overeenstemming met de lokale of regionale wet- en regelgeving van de Europese Unie en haar lidstaten.Xiaomi werkt in overeenstemming met ISO/IEC 27001 Information Security Management Standards en het ISO/IEC 27701 Privacy Information Management System. Xiaomi heeft sinds 2016 ook jaarlijks Enterprise Privacy-certificering van TrustArc ontvangen. Dit zorgt voor de best mogelijke privacy- en beveiligingsbescherming voor de eindgebruiker.
Xiaomi wil nogmaals benadrukken dat we ons inzetten voor de privacy en veiligheid van onze gebruikers. We werken volgens de hoogste normen en voldoen aan alle lokale en regionale voorschriften.
[1] Zie artikel 13 controversiële inhoud van het beleid voor Facebook-advertenties, beschikbaar op https://www.facebook.com/
policies/ads/ ; Clausule over politieke inhoud van het Google Ads-beleid, beschikbaar op https://support.google.com/ adspolicy/answer/6008942
