“Koop geen Chinese smartphone en als je er een hebt, doe die dan zo snel mogelijk weg.” Tot die aanbeveling komt het Litouwse Ministerie van Defensie. Op de Xiaomi Mi 10T 5G - ook in Nederland te koop - trof het ministerie ‘censuursoftware’ aan.
Het National Cyber Security Center (NCSC) in Litouwen onderzocht drie 5G-modellen van de Chinese smartphonemerken Xiaomi, Huawei en OnePlus om te zien of zij voldoen aan de veiligheidseisen die het land stelt. Het NCSC, onderdeel van het Ministerie van Defensie, liet het onderzoek uitvoeren door de International Cyber Vulnerabilities Database. Op de OnePlus 8T 5G viel weinig aan te merken, maar het P40 5G-model van Huawei en de Mi 10T 5G van Xiaomi krijgen er flink van langs in het vorige week gepubliceerde rapport.
Bij Huawei krijgt vooral de AppGallery kritiek, de app store voor Huawei’s eigen Harmony-besturingssysteem. Bezoekers die naar een app zoeken die niet in de Gallery beschikbaar is, zouden worden doorgeleid naar websites van derden waarop bij sommige malware is aangetroffen. Daarnaast zou het toestel 144 kwetsbaarheden bevatten op het gebied van hardware en privacy.
“Vrijheid voor Tibet”
Ook op het toestel van Xiaomi werden kwetsbaarheden gevonden, maar de meeste aandacht van de Litouwse cyberveiligheidsdienst gaat uit naar aangetroffen software die bepaalde tekstfragmenten op de smartphone kan ontdekken en blokkeren. In het rapport worden 449 termen genoemd, waaronder “Vrijheid voor Tibet”, “Mongolië onafhankelijk”, “Lang leve de Taiwanese onafhankelijkheid” en “democratische beweging”. Wanneer iemand sites bezoekt waarop die termen voorkomen, worden ze automatisch geblokkeerd. De Mi-browser op de Xiaomi-smartphone zou om de zoveel tijd een geüpdatete lijst ontvangen met verboden zoektermen, zonder medeweten van de gebruiker.
De onderzoekers stellen dat deze censuurfunctionaliteit weliswaar is uitgeschakeld voor de toestellen die in Europa worden verkocht, maar dat die op afstand zo aangezet kan worden. Om die reden én omdat niet duidelijk is of de software alleen op het onderzochte apparaat zit of op alle Xiaomi-modellen, kunnen Europeanen maar beter geen Xiaomi kopen, zegt de Litouwse NCSC.
Een andere belangrijke kwetsbaarheid die op het Xiaomi-toestel werd aangetroffen, is dat ongevraagd versleutelde data over het gebruik van de telefoon worden verstuurd naar een server in Singapore. Wat voor data precies, konden de onderzoekers vanwege de versleuteling niet achterhalen.
Bedrijven ontkennen
Zowel Huawei als Xiaomi hebben geprotesteerd tegen de bevindingen in het rapport. Volgens Huawei worden geen gebruikersdata doorgestuurd naar derden en het bedrijf zegt in te staan voor de veiligheid van zijn app store. Ook Xiaomi, inmiddels een van de grootste smartphonemerken in Europa, zegt tegen de BBC dat zijn apparaten geen enkele communicatie censureren en dat het bedrijf 'nooit enig persoonlijk gedrag van zijn smartphonegebruikers zal beperken of blokkeren'. Het bedrijf zegt zich volledig aan de AVG-regels te houden.
Litouws conflict
Toeval of niet, het rapport van de Litouwse NCSC verschijnt in een tijd waarin er politieke spanningen zijn tussen dat land en China. China dreigde recent zijn ambassadeur uit Vilnius terug te halen en de Litouwse ambassadeur uit te zetten. De ruzie begon toen Taiwan aankondigde dat het zijn diplomatieke vertegenwoordiging in Litouwen het ‘Taiwanese Representative Office’ zou noemen. In andere Europese landen waaronder Nederland worden die diplomatieke posten naar de Taiwanese hoofdstad Taipei vernoemd, om problemen met China te vermijden. China beschouwt Taiwan als zijn eigen grondgebied.