Litouwen waarschuwt voor beveiligingsproblemen bij Chinese 5G-smartphones
De Litouwse regering waarschuwt voor beveiligingsproblemen en ingebouwde censuurfuncties in Chinese mobiele telefoons. Volgens het nationale cyberveiligheidscentrum in Vilnius heeft een onderzoek van drie 5G-smartphones van Huawei, Xiaomi en OnePlus vier belangrijke cyberveilgheidsrisico’s aan het licht gebracht.
Twee daarvan hadden betrekking op voorgeïnstalleerde apps, de andere twee op een risico op verlies van persoonlijke gegevens en mogelijke beperkingen van de vrijheid van meningsuiting, zo luidt het. Uit analyse van het toestel van Xiaomi kwam naar voor dat het technisch in staat is om inhoud die erop gedownload wordt te censureren. Het toestel kan bijvoorbeeld termen als ‘Free Tibet’ of ‘democratische beweging’ herkennen en blokkeren.
Niet actief in Europa
De functie zou gedeactiveerd zijn op smartphones die in Europa verkocht worden, maar zou op elk moment vanop afstand ingeschakeld kunnen worden. Bij de smartphone van Huawei is er bezorgdheid over de officiële app store, die zou doorverwijzen naar onveilige providers. Bij het toestel van OnePlus zouden dan weer geen beveiligingsproblemen ontdekt zijn.
De Litouwse regering heeft consumenten in het land geadviseerd om geen mobiele telefoons van Chinese fabrikanten te kopen en om Chinese toestellen die al in gebruik zijn, niet meer te benutten. Huawei liet in een reactie weten dat de bezorgdheid onterecht is. ‘Gegevens van gebruikers worden nooit buiten het toestel van Huawei verwerkt’, klinkt het.
Reactie Xiaomi
In een nagekomen reactie van Xiaomi laat het bedrijf weten ‘op de hoogte te zijn van het rapport ‘Cybersecurity assessment of 5G-enabled mobile devices’, dat onlangs is gepubliceerd door de Cybersecurity en Informatie Authoriteit van Litouwen(NCSC). Het bedrijf neemt de aantijgingen in het rapport serieus. ‘Hoewel wij de karakterisering van bepaalde bevindingen betwisten, schakelen we een onafhankelijke externe deskundige in om de punten in het rapport te beoordelen. We hebben vertrouwen in de integriteit van onze apparaten en de naleving van wet en regelgeving door ons bedrijf, en we denken dat een derde partij dit zal verifiëren voor onze gebruikers en partners.’
In het bijzonder wil Xiaomi twee belangrijke zorgen wegnemen die in het rapport naar voren worden gebracht. Allereerst is dat de vermeende censuur. ‘Onze apparaten beperken of filteren de communicatie van of naar onze gebruikers niet. Xiaomi heeft en zal nooit persoonlijk gedrag van onze smartphonegebruikers beperken of blokkeren, zoals zoeken, bellen, surfen op het web of het gebruik van communicatiesoftware van derden. Het NCSC-rapport beweert niet dat we dat doen. Het wijst op het gebruik door Xiaomi van software voor advertentiebeheer die de beperkte mogelijkheid heeft om betaalde en push-advertenties te beheren die op apparaten worden geleverd via Xiaomi-apps, zoals Mi Video en Mi Browser. Dit kan worden gebruikt om gebruikers te beschermen tegen aanstootgevende inhoud, zoals pornografie, geweld, aanzetten tot haat en verwijzingen die lokale gebruikers kunnen beledigen’, klinkt het voorts. Volgens Xiaomi is deze praktijk gebruikelijk in de smartphone- en internetindustrie over de hele wereld.
Gegevensverwerking en -overdracht
Het rapport suggereert volgens Xiami ook ten onrechte ongepast data management. Het bedrijf voldoet naar eigen zeggen volledig aan alle vereisten van de AVG (GDPR), inclusief de verwerking, verwerking en overdracht van eindgebruikersgegevens. ‘Onze naleving is van toepassing op alle systemen, apps en diensten. Elk gebruik van persoonlijke gegevens is afhankelijk van de geldige toestemming van de eindgebruiker en is altijd in overeenstemming met de lokale of regionale wet- en regelgeving van de Europese Unie en haar lidstaten. Xiaomi werkt in overeenstemming met ISO/IEC 27001 Information Security Management Standards en het ISO/IEC 27701 Privacy Information Management System. Het bedrijf heeft sinds 2016 ook jaarlijks Enterprise Privacy-certificering van TrustArc ontvangen.’