A minisztérium Nemzeti Kiberbiztonsági Központja az országban kapható 5G-képes telefonokat vetette alá alapos vizsgálatnak, amelynek keretében három készüléket értékeltek: a Xiaomi Mi 10T-t, a Huawei P40-et valamint a Oneplus 8T-t. A OnePlus készülékénél a jelentés nem tárt fel biztonsági kockázatokat, a másik két telefonban viszont számos olyan problémát találtak, ami a kiberbiztonsági központ szerint kockázatos lehet a felhasználókra nézve.
A Xiaomi Mi 10T-nél a jelentés kiemeli, hogy a készülék időről-időre letölt egy rendszeresen frissített konfigurációs fájlt, ami "MiAdBlacklistConfig" névre hallgat. A fájl olyan, a kínai vezetés számára kényes kulcsszavakat tartalmaz, mint például a "szabad Tibet", az "éljen a független Tajvan" és a "demokrácia mozgalom" és számos rendszeralkalmazás használja, többek között a Xiaomi saját böngészője, az Mi Browser, valamint a rendszerkarbantartó (Cleaner), biztonsági (Security), telepítő (Package Installer) és témaválasztó (Themes) szolgáltatások is. A jelentés szerint a Xiaomi telefonja így a lista segítségével képes lehet cenzúrázni a készüléken megjelenő tartalmakat, noha - ahogy azt az Android Authority is megjegyzi - a fájl nevéből arra lehet következtetni, hogy ez a hirdetésekre vonatkozik. A fájl neve magyarra fordítva ugyanis “Mi Hirdetés Feketelista”, a Xiaomi telefonjairól pedig köztudott, hogy rendszerszinten is számos reklámot jelenítenek meg a felhasználóknak. A jelentés hozzáteszi, hogy a funkció az Európai Unióban nincs bekapcsolva, de a Xiaomi bármikor élesíthetné azt az összes telefonon.
A vádakra nem sokkal később a gyártó is reagált, akik az Android Authorityhez eljuttatott közleményükben tagadták, hogy a cég cenzúrázná a felhasználók kommunikációját. "A Xiaomi sosem korlátozta, és a jövőben sem fogja korlátozni vagy blokkolni a felhasználók telefonhasználati szokásait, beleértve a kereséseket, hívásokat, a böngészési szokásokat vagy a harmadik fél által fejlesztett kommunikációs szoftverek használatát" - írják, hozzátéve, hogy a Xiaomi teljes mértékben betartja az Európai Unió általános adatvédelmi rendeletét, azaz a GDPR-t.
Ennek részben ellentmond a jelentés további része, amely az Mi 10T kapcsán azt is kifogásolja, hogy a telefon túl sok adatot gyűjt a felhasználók készülékhasználati szokásairól, amelyeket egy a GDPR hatáskörén kívül eső, szingapúri szerverre továbbít. A kibervédelmi központ azt is megemlíti, hogy amikor valaki regisztrál a Xiaomi felhőszolgáltatására, a készülék egy titkosított, vagyis a felhasználó számára nem látható SMS üzenetben elküldi a telefonszámát egy szingapúri szerverre, még akkor is, ha a regisztrációnál az e-mail címükkel azonosítják magukat a telefonszámuk helyett.
A vizsgálat szintén feltárt néhány hiányosságot a Huawei készülékénél is, bár egészen más jellegűeket. A P40-nél a jelentés azt kifogásolja, hogy a gyártó saját alkalmazásboltja, az AppGallery sok esetben másik alkalmazásboltba irányítja a felhasználókat, amikor azok olyan alkalmazást keresnek, ami az AppGalleryben nem elérhető. Ezek között az alkalmazásboltok között megtalálható többek között az APKPure és az APKMonk, amelyek amerikai szervereken üzemelnek, így nem vonatkoznak rájuk a GDPR előírásai, emellett a vizsgálat több olyan alkalmazást is talált ezekben az alkalmazásboltokban, amelyek magukat egy másik, népszerű applikációnak álcázva vírusokat terjesztenek vagy adathalászatra használják őket. Azt ugyanakkor a jelentés nem állítja, hogy az AppGallery közvetlenül ilyen kártékony alkalmazásokra irányítaná a felhasználókat.
Bár a vizsgálat a OnePlus telefonja esetében nem tárt fel biztonsági hiányosságokat, a litván védelmi minisztérium ennek ellenére kategorikusan a kínai telefonokkal szemben foglalt állást, arra biztatva a felhasználókat, hogy cseréljék le a készülékeiket. "Azt javasoljuk, hogy senki se vegyen kínai telefonokat, a már megvásárolt telefonoktól pedig szabaduljanak meg, amilyen gyorsan csak tudnak" - mondta Margiris Abukevicius, a védelmi minisztérium tárcavezető-helyettese a jelentésre reagálva.
A Reuters megemlíti, hogy Kína és Litvánia viszonya az utóbbi időben elmérgesedett, miután Tajvan a múlt hónapban bejelentette, hogy a litván kirendeltségüket "Tajvani Képviseleti Irodának" fogják nevezni. Ennek hatására Kína azonnal visszahívta a vilniusi nagykövetét, és azt követelte Litvániától, hogy ők is tegyenek hasonlóan a pekingi nagykövetükkel. A lap emlékeztet rá, hogy Kína ragaszkodik hozzá, hogy a szigetország a Kínai Népköztársaság része, emiatt pedig a legtöbb ország hivatalosan nem ismeri el Tajvant, és a képviseleteiket rendszerint a fővárosról, Tajpejről nevezik el. A világon mindössze 15 olyan ország van, ami Tajvant hivatalosan is elismeri, azonban Litvánia nincsen köztük, Európában a Vatikán az egyetlen ország, ami elismeri a szigetország létezését.
Kérdés, hogy a jelentés hatással lesz-e a Xiaomi telefonok európai eladásaira, amik az elmúlt időszakban minden rekordot megdöntöttek. A kínai gyártó a Huawei visszaesését kihasználva 2021 második negyedévében már a második legnagyobb gyártónak számított globálisan az eladott készülékek darabszámát tekintve, Európában pedig a Samsungot is megelőzve már ez a márka a legnépszerűbb a vásárlók körében.
A Xiaomi részletesen tanulmányozta a „Cybersecurity assessment of 5G-enabled mobile Devices” (Az 5G-képes mobilkészülékek kiberbiztonsági értékelése) című jelentést, amelyet a Cybersecurity and Information Authority of Lithuania (Litvánia kiberbiztonsági és információs hatósága, NCSC) a közelmúltban tett közzé.
Komolyan vesszük a Jelentésben foglalt állításokat. Miközben vitatjuk egyes pontjainak valóságtartalmát, független harmadik féllel is felvesszük a kapcsolatot annak érdekében, hogy értékeljük a Jelentésben tárgyalt ügyeket. Meg vagyunk győződve arról, hogy készülékeink, valamint az üzleti tevékenységünk minden tekintetben megfelel a tisztességességes üzleti gyakorlat elvárásainak, továbbá hiszünk abban, hogy ezt független, kívülálló fél is meg fogja erősíteni mind a felhasználóink, mind a partnereink számára.
A Xiaomi az alábbiakban két ügyre szeretne külön is kitérni, amelyek szerepeltek a Jelentésben:
1. Az állítólagos cenzúra
A Xiaomi készülékek nem korlátozzák és nem is szűrik meg a felhasználók által elküldött, vagy nekik eljuttatni szándékolt tartalmakat. A Xiaomi sem a múltban, sem a jelenben egyetlen alkalommal sem korlátozta vagy lehetetlenítette el az okostelefonok használóinak bármilyen tevékenységét, legyen az internetes keresés, hívás, internetes böngészés, vagy egy harmadik fél által biztosított szoftver használata. Az NCSC-jelentés nem is állítja, hogy mi ilyet tettünk volna.
A Jelentés a Xiaominak a reklámok szűréséért felelős szoftverére utal, amely bizonyos korlátok között képes a készülékekre érkező fizetett és push hirdetések kezelésére az olyan Xiaomi applikációkon belül, mint amilyen a Mi Video és a Mi Browser. Ezeket arra lehet felhasználni, hogy megvédjék a felhasználókat a számukra sértő vagy ártalmas tartalmaktól, például pornográf, erőszakos, gyűlöletkeltő tartalmaktól és az olyan hivatkozásoktól, amelyek a helyi felhasználók számára sértő vagy ártalmas tartalmakat közvetíthetnek. Ez bevett gyakorlatnak számít az egész világon az okostelefon- és internet üzletágban.
Időről-időre felül szoktuk vizsgálni a hirdetések kezelésére vonatkozó irányelveinket annak érdekében, hogy azok megfeleljenek az aktuális követelményeknek és a felhasználóink elvárásainak. A Xiaomi elkötelezett a felelős és átlátható működés mellett minden országban, ahol termékeivel és szolgáltatásaival jelen van. Készek vagyunk folyamatosan jobbá tenni és megújítani a termékeinket és szolgáltatásainkat, és nyitottak vagyunk a felhasználóink, a szabályozásért felelős hatóságok és az egyéb érintettjeink visszajelzéseire.
2. Adatfeldolgozás és adattovábbítás
A jelentés igaztalanul sugallja, hogy nem megfelelő módon kezeljük a felhasználóink adatait. A valóság ezzel szemben az, hogy a Xiaomi teljes mértékben megfelel a GDPR minden előírásának, ideértve a végfelhasználói adatkezelésre, adatfeldolgozásra, és adattovábbításra vonatkozó követelményeket is. Ez a megfelelőség ugyanúgy kiterjed minden általunk működtetett rendszerre, amint az applikációinkra és az általunk nyújtott szolgáltatásokra is. A személyes adatok felhasználását mindig a végfelhasználó jóváhagyásától tesszük függővé, és mindig megfelel a helyi vagy nemzetközi, valamint az Európai Unió és tagállamaiban alkalmazott jogszabályi előírásoknak.
A Xiaomi működése eleget tesz az ISO/IEC 27001 Information Security Management Standards és az ISO/IEC 27701 Privacy Information Management System követelményeinek. A Xiaomi megszerezte a TrustArc Enterprise Privacy Tanúsítványát is, amelynek 2016 óta minden évben megfelel. Ez utóbbi a végfelhasználók által ma elérhető legjobb adatvédelmi és adatbiztonsági követelményrendszer.
A Xiaomi ismételten megerősíti, hogy elkötelezett felhasználói személyes adatainak védelme és biztonsága mellett. A legszigorúbb minőségi kritériumok betartása mellett működünk és eleget teszünk az összes helyi és nemzetközi jogszabályi követelménynek.
(Borítókép: Raketa.hu)