Lituânia acusa Xiaomi e Huawei de usarem módulos de censura e espionagem

O Centro Nacional de Cibersegurança da Lituânia (NCSC, na sigla em inglês), divulgou nessa última quarta (22) um relatório de segurança sobre três celulares chineses, dos quais dois receberam duras críticas.

• Órgãos dos EUA estudam aplicar restrições em ex-subsidiária da Huawei
• Huawei chama Biden para conversar e aceita repassar tecnologias 5G aos EUA
• Governo Biden impõe novos limites aos fornecedores da Huawei

O NCSC fez a auditoria em três celulares considerados populares na Lituânia, e que, segundo o ministro de defesa do país, Margiris Abukevičius, haviam sido identificados pela comunidade internacional como possíveis vetores de problemas de segurança. Os aparelhos foram o Mi 10T 5G, da Xiaomi; o P40 5G, da Huawei; e o 8T 5G, da One Plus.

Dos três telefones avaliados, só o OnePlus 8T 5G não recebeu nenhum tipo de alerta do órgão da Lituânia. Já no caso do aparelho da Xiaomi, foram identificados módulos possivelmente criados para potencialmente vazar informações dos usuários para empresas, além de censurar certos tipos de conteúdo. O smartphone da Huawei também recebeu alertas de segurança, por baixar aplicativos de fontes com conteúdos maliciosos, que podem comprometer a segurança dos donos do dispositivo.

Xiaomi Mi 10T 5G

O relatório da NCSC alerta sobre como os aplicativos pré-instalados da Xiaomi no Mi 10T 5G enviam dados e estatísticas de uso para servidores de nuvem localizados em países como Singapura, Estados Unidos, Reino Unido, Holanda, Alemanha e Índia, sem avisar o usuário. O documento também fala sobre a ativação do módulo Google Analytics no momento em que o smartphone é ligado pela primeira vez, sem ciência dos donos dos aparelhos. O módulo compartilha constantemente o histórico de navegação e pesquisa do dispositivo com os servidores da Xiaomi.

O relatório também destacou a quantidade de dados coletados pelo Mi Browser, navegador padrão dos aparelhos da Xiaomi. Vale lembrar que no passado o Mi Browser já foi alvo de críticas por políticas de privacidade, principalmente o fato de coletar dados de navegação mesmo no modo anônimo.

Outro ponto citado é o envio de um SMS criptografado para os servidores da Xiaomi quando o usuário se inscreve no serviço de nuvem dela. Para a entidade Lituânia, essa situação é preocupante pois pode apresentar risco de vazamento de dados pessoais, já que não há como saber o conteúdo enviado no texto codificado.

Por fim, o relatório afirma que os aplicativos nativos da Xiaomi, Security, MiBrowser, Cleaner, MIUI Package Installer e Themes, baixam e atualizam constantemente um arquivo de configuração com o nome de "MiAdBlacklistConfig", a partir de um servidor localizado em Singapura. Esse documento contém uma lista de bloqueio de palavras-chave que pode ser usada para censurar conteúdos exibidos no celular.

O conteúdo da lista são títulos, nomes e outras informações sobre vários grupos religiosos, políticos e movimentos sociais, que, até o fechamento do relatório, somavam 449 itens. De acordo com o órgão lituano, ele permite que os aplicativos nativos da Xiaomi filtrem conteúdo multimídia com base nas palavras-chave contidas na lista de restrição e o bloqueiem.

O órgão, porém, afirma que a filtragem está desativada em território europeu, mas que, da forma que o arquivo foi feito, a Xiaomi consegue ativar remotamente a função.

O NCSC, após a publicação do relatório, pediu para que moradores da Lituânia se livrem de seus celulares Xiaomi, para estarem a salvo de potenciais tentativas de censura por parte da empresa chinesa.

Huawei P40 5G

No caso do P40 5G, o relatório feito pelo NCSC identificou que a loja de aplicativos próprios da Huawei, a AppGallery, caso não ache algum app em seu catálogo, redireciona os usuários para realizar o download em páginas alternativas, sem nenhum aviso além de que o download será feito em fonte externa. Algumas das lojas acessadas a partir desse redirecionamento são a Apkmonk, APKPure, e a Aptoide.

A natureza dessas lojas alternativas, que permitem que usuários disponibilizem suas próprias APKs (nome dado aos arquivos que realizam a instalação de apps no Android), possibilita que conteúdos sem certificação ou potencialmente maliciosos possam ser baixados no aparelho.

Embora isso não seja um problema tão severo quanto os identificados no aparelho da Xiaomi, a situação ainda é preocupante pelo o fato da AppGallery não avisar quando realiza o redirecionamento.

Pontos a se considerar

É importante frisar que o relatório, porém, foi feito em um momento em que tensões diplomáticas entre a Lituânia e a China estão em alta. Em agosto, a China impôs sanções econômicas na Lituânia, frente a abertura de uma embaixada de Taiwan no país. O fato desse relatório com acusações severas contra uma empresa chinesa sair pouco mais de um mês após a aplicação dessas sanções é, no mínimo, curioso.

O fato de o arquivo que lista as palavras-chave para bloqueio se chamar "MiAdBlocklist" também deve ser levado em conta, já que o “AD” no nome é a palavra em inglês para anúncio. Uma função comum que os celulares da Xiaomi oferecem é o bloqueio de anúncios, porém, ao mesmo tempo, é estranho que a lista contenha justamente termos que são normalmente censurados na China.

Já quanto ao aparelho da Huawei, ele está fazendo uso da loja de aplicativos proprietária da empresa por conta da inclusão dela na lista de restrições de exportação dos EUA, que não permite que companhias americanas realizem negócios com ela. A principal preocupação é o fato da empresa não avisar quando redireciona para lojas alternativas, só avisando que o download da aplicação será feito por fora do app da AppGallery, colocando em risco a segurança dos usuários se, de repente, um programa malicioso estiver disponibilizado em um dos repositórios alternativos.

O que dizem as fabricantes

A Xiaomi do Brasil, procurada pelo Canaltech em relação ao conteúdo do relatório, nos enviou o posicionamento global da marca:

“Os dispositivos da Xiaomi não censuram as comunicações de seus usuários. A Xiaomi nunca restringiu ou restringirá ou bloqueará qualquer comportamento pessoal dos usuários de smartphones, como pesquisa, chamada, navegação na web ou o uso de software de comunicação de terceiros. A Xiaomi respeita e protege os direitos legais de todos os usuários. A Xiaomi está em conformidade com o Regulamento Geral de Proteção de Dados da União Europeia (GDPR)”.

Atualizado 24/09/2021 com a declaração da Huawei

O Canaltech também procurou a Huawei do Brasil, que nos enviou o seguinte posicionamento: 

"A Huawei sempre aderiu ao princípio de integridade, obedeceu às leis e regulamentações dos países e regiões onde opera e considerou segurança cibernética e proteção da privacidade como suas principais prioridades. A Huawei tem um forte histórico de segurança cibernética em mais de 170 países e regiões e atende a mais de 3 bilhões de usuários.

Os dados nunca são processados ​​fora dos dispositivos Huawei. A Huawei é transparente sobre os dados coletados dos usuários, que são reduzidos ao mínimo e usados ​​para aprimorar a personalização e a experiência de usuário. Quando se trata do uso de dados em telefones Huawei, a AppGallery apenas coleta e processa os dados necessários para permitir que seus clientes pesquisem, instalem e gerenciem aplicativos de terceiros, da mesma forma que outras lojas de aplicativos. Petal Search e AppGallery foram certificados pelo European Privacy Seal em conformidade com o Regulamento Geral sobre a Proteção de Dados. A Huawei deixa claro que esses aplicativos são de fontes disponíveis publicamente, então o usuário não é forçado a baixar um aplicativo. A Huawei realiza uma verificação de segurança para garantir que o usuário baixe apenas aplicativos seguros e operacionais em dispositivos HMS.

Respeitamos as leis de todos os países e regiões onde operamos e nos preocupamos profundamente com nossos clientes, parceiros e todas as pessoas que usam e são afetadas pelo uso de nossa tecnologia. O tratamento de dados também é tratado com seriedade e cuidado."

O relatório feito pelo NCSC pode ser encontrado, em inglês, aqui.

Fonte: ArsTechnica, The Record