Litewskie ministerstwo obrony zaleciło obywatelom pozbycie się chińskich smartfonów. Zalecenie wydało po tym, jak ukazał się raport tamtejszego Centrum do Spraw Cyberbezpieczeństwa (NCSC). Wynika z niego, że telefony marki Xiaomi mają wbudowane oprogramowanie do cenzury.
Chodzi o model Mi 10T 5G. Może on wykrywać różne niepożądane przez chińskie władze frazy, na przykład „wolny Tybet”, „niepodległość Tajwanu”, czy „ruchy demokratyczne”. Fabrycznie zainstalowane na nim aplikacje, w tym przeglądarka internetowa Mi otrzymują z serwerów firmy listy takich zakazanych słów i fraz – wynika z raportu NCSC. Jeśli ktoś szuka takich sformułowań w przeglądarce, nie znajdzie żadnych wyników.
„Teleofny firmy Xiaomi sprzedawane na Litwie miały wyłączoną funkcję filtrowania wyszukiwań i ich nie cenzurowały. Jednak urządzenia regularnie otrzymywały listy takich zakazanych słów”, stwierdził w komunikacie Tatuvydas Bakšys z NSCS. Więc choć funkcja cenzurowania jest w telefonach sprzedawanych w Europie wyłączona, to – jak twierdzą eksperci – można ją uruchomić bez wiedzy użytkownika. Gdy wyszukiwania zaczną być cenzurowane, posiadacz telefonu nie zauważy niczego podejrzanego.
„Nie kupujcie chińskich telefonów”
Podczas konferencji prasowej wiceminister obrony narodowej Margiris Abukevičius zalecił, by obywatele Litwy nie kupowali chińskich smartfonów, a starych „pozbyli się, jak tylko będą w stanie”.
Zagrożeniem jest również zbieranie danych przez producentów telefonów. W Europie zbieranie danych osobowych reguluje unijne rozporządzenie (w Polsce skracane do RODO, jego angielski skrót to GDPR). Przeglądarka instalowana przez Xiaomi na smartfonach zbiera, według litewskich służb do spraw cyberbezpieczeństwa, „nadmierną ilość” takich danych. Co gorsza, przesyła je na serwery w Singapurze, gdzie europejskie RODO rzecz jasna nie obowiązuje.
Litwini mają też zastrzeżenia do telefonów Huawei. Internetowy sklep z aplikacjami na smartfony tej firmy, AppGallery, kieruje użytkowników do sklepów prowadzonych przez inne firmy. Część z nich znana jest z tego, że w ich aplikacjach znajduje się złośliwe oprogramowanie. Ukryte w aplikacji, może zdobyć dostęp do bardzo wrażliwych danych, które znajdują się w telefonie. Należą do nich nie tylko nasze dane osobowe, ale na przykład dane logowania do banków.
Litewskie służby nie dopatrzyły się natomiast zagrożeń bezpieczeństwa w telefonach innej chińskiej firmy, OnePlus.
W zasadzie nie wiemy, kto i jak zbiera nasze dane ze smartfonów
Firma Xiaomi początkowo nie odpowiedziała na prośby o komentarz. Potem oznajmiła, że nie cenzuruje wyszukiwanych przez użytkowników jej telefonów treści i nigdy tego nie robiła. Rzecznik firmy Huawei skomentował jedynie, że firma nie wysyła danych użytkowników.
Tłem raportu litewskiego NSCS są dyplomatyczne tarcia między dwoma krajami. Stosunki litewsko-chińskie uległy znacznemu ochłodzeniu, gdy w Wilnie otwarto de facto ambasadę Tajwanu. Chińska Republika Ludowa uważa wyspę za swoją zbuntowaną prowincję i odwołała po tym z Wilna swojego ambasadora.
Niezależnie od tych sporów, raport NSCS powinien nam przypomnieć, że mamy bardzo ograniczoną kontrolę nad tym, co dzieje się w naszych telefonach. Teoretycznie, gromadzenie naszych danych reguluje unijne rozporządzenie. W praktyce nie mamy jednak wpływu na to, czy takie dane są zbierane i gdzie są przetwarzane.
Jeśli ktoś wie, czego szukamy w Internecie, może nam podsunąć dopasowane do nas reklamy. Dane o preferencjach użytkowników internetowych przeglądarek (z tak zwanych ciasteczek) są sprzedawane hurtowo. Wiele razy wykazywano, że nawet z takich informacji (pozbawionych danych osobowych czyli zanonimizowanych) można statystycznymi metodami uzyskać dane pozwalające na zidentyfikowanie konkretnej osoby.
Dlaczego Amerykanie odkupili gejowską aplikację od Chińczyków?
Ciekawa w tym kontekście jest też sprawa Grindr – aplikacji randkowej dla gejów. W kwietniu 2018 roku norweska organizacja pozarządowa SINTEF odkryła, że firma sprzedaje dane swoich użytkowników. Informacje o preferencjach seksualnych, zdrowiu (w tym dacie ostatniego badania na HIV) oraz lokalizacji milionów osób kupowały dwa przedsiębiorstwa.
Firma broniła się tym, a dane były anonimizowane (pozbawione danych osobowych), a ich nabywcy zobowiązani do zachowania poufności. Twierdziła też, że to powszechna praktyka w tej branży. Sprawa była o tyle kontrowersyjna, że nieco wcześniej aplikację nabyła chińska firma informatyczna Kunlun Group z siedzibą w Pekinie. Dwa lata później, w marcu 2020 roku, Chińczycy zgodzili się odsprzedać aplikację Amerykanom. Zrobili to na żądanie agencji (CFIUS) badającej strukturę udziałów w amerykańskich spółkach pod kątem bezpieczeństwa narodowego. Najwyraźniej Amerykanie uznali, że wrażliwe dane nie powinny trafić w ręce chińskiego rządu.