O Centro Nacional de Segurança Cibernética da Lituânia (NCSC) publicou recentemente um documento de segurança avaliação de três modelos de smartphone recentes feitos na China: P40 5G da Huawei, Mi 10T 5G da Xiaomi e OnePlus 8T 5G. Compradores americanos suficientemente determinados podem encontrar o P40 5G na Amazon e o Mi 10T 5G no Walmart.com, mas não forneceremos links diretos para esses telefones, dados os resultados da auditoria de segurança do NCSC.
O telefone Xiaomi inclui módulos de software projetados especificamente para vazar dados para as autoridades chinesas e censurar a mídia relacionada a tópicos que o governo chinês considera confidenciais. O telefone Huawei substitui a loja de aplicativos padrão do Google Play por substitutos de terceiros que o NCSC descobriu para abrigar um empacotamento incompleto e potencialmente malicioso de aplicativos comuns.
O P40 da Huawei ainda está preso no Android 10, enquanto o Xiaomi vem com o 10, mas pode ser atualizado para o 11. Somente o OnePlus 8T vem com o Android 11 instalado.
O OnePlus 8T 5G, indiscutivelmente o telefone mais conhecido e mais comercializado dos três, foi o único a escapar do escrutínio do NCSC sem que bandeiras vermelhas fossem levantadas.
Xiaomi Mi 10T 5G
O NCSC descobriu que sete aplicativos de sistema padrão no telefone Xiaomi podem monitorar o conteúdo de mídia para bloqueá-lo pelo usuário, usando um arquivo JSON baixado regularmente.
O Mi 10T 5G da Xiaomi é fornecido com um navegador não padrão chamado “Mi Browser”. O NCSC encontrou dois componentes em My Browser que não gostou: Google Analytics e um módulo menos familiar chamado Sensor Data.
O módulo do Google Analytics no navegador Mi pode ler o histórico de pesquisa e navegação do dispositivo e, em seguida, enviar esses dados aos servidores da Xiaomi para análise e uso não especificados. O módulo Google Analytics é ativado automaticamente por padrão durante a primeira ativação do telefone ou após qualquer redefinição de fábrica.
O NCSC descobriu que o módulo Sensor Data coleta estatísticas sobre 61 parâmetros relacionados à atividade do aplicativo, incluindo tempo de ativação do aplicativo, idioma usado e muito mais. Essas estatísticas são criptografadas e enviadas para os servidores da Xiaomi em Cingapura, um país que, de acordo com o NCSC, não é coberto pelo GDPR da UE e ao qual está vinculado. excessivo coleta de dados e abuso da privacidade do usuário.
O NCSC também descobriu que o número do celular do usuário é registrado silenciosamente nos servidores de Cingapura por meio de uma mensagem SMS criptografada após a ativação dos serviços de nuvem padrão da Xiaomi. O número do celular é enviado independentemente de o usuário vinculá-lo a uma nova conta na nuvem ou não, e o SMS criptografado não fica visível para o usuário.
Vários dos aplicativos de sistema da Xiaomi no Mi 10T 5G baixam regularmente um arquivo chamado MiAdBlackListConfig de servidores em Cingapura. Nesse arquivo, o NCSC encontrou 449 registros identificando grupos religiosos, políticos e sociais. As classes de software nesses aplicativos Xiaomi usam MiAdBlackListConfig para analisar multimídia que pode ser exibida no dispositivo e bloquear esse conteúdo se palavras-chave “indesejáveis” forem associadas.
Embora o NCSC tenha descoberto que a filtragem de conteúdo real por MiAdBlackListConfig está desabilitada em telefones registrados na União Europeia, os telefones ainda baixam regularmente a lista de bloqueio e, de acordo com a agência, podem ser reativados remotamente a qualquer momento.
Huawei P40 5G
O NCSC descobriu que os usuários que procuram aplicativos no AppGallery da Huawei são freqüentemente redirecionados para repositórios de terceiros potencialmente não confiáveis.
Embora o NCSC não tenha encontrado a mesma classe de spyware e módulos de filtragem de conteúdo no P40 5G da Huawei como no Mi 10T 5G, ele ainda não estava satisfeito com a infraestrutura de software do telefone, e por um bom motivo.
Os problemas mais óbvios do P40 5G vêm de sua substituição da Play Store do Google pela da Huawei. App Gallery loja, que anuncia como “um lugar mais seguro para obter todos os seus aplicativos favoritos”. O NCSC descobriu que se um usuário pesquisar o AppGallery para um aplicativo específico, ele será redirecionado silenciosamente para lojas de aplicativos de terceiros se nenhuma correspondência for encontrada no AppGallery.
As plataformas de distribuição de terceiros que o NCSC encontrou vinculadas ao AppGallery incluem, mas não estão limitadas a, Apkmonk, APKPure e Aptoide. O NCSC usou o VirusTotal para fazer a varredura de vários aplicativos instalados por meio do AppGallery e de suas plataformas de terceiros vinculadas e descobriu malware potencial em três: Mídia social tudo-em-um, CNC Machinist Threading Calculator e “Messenger App, Light All-in-One, Live Free Chat Pro App”.
Não temos certeza de quanto sal levar com as descobertas de “malware” específicas do NCSC, já que a agência não fez engenharia reversa de nenhum dos três aplicativos que o VirusTotal não gostou, e os falsos positivos do antivírus em menos conhecidos aplicativos. eles ocorrem com alguma regularidade. . No entanto, a vinculação aparentemente silenciosa do AppGallery a lojas de aplicativos de terceiros apresenta um risco real de comprometimento do dispositivo.
Embora Apkmonk, APKPure e Aptoide sejam “lojas alternativas” razoavelmente conhecidas, elas são menos selecionadas do que a própria Play Store do Google. O Aptoide, por exemplo, oferece seu próprio repositório principal, que é curado, verificado e parece ser tão seguro quanto a Play Store. Mas o Aptoide também permite a auto-hospedagem fácil de repositórios de APK para qualquer pessoa que queira fazer upload de seus próprios, seja um usuário que deseja “fazer um backup” de APKs que podem desaparecer da Play Store ou um desenvolvedor que hospeda seu próprio software original.
A facilidade de criação de repositórios no Aptoide e a prevalência de aplicativos hackeados e hackeados em seus repositórios de usuários tornam as “compras” imprudentes por usuários menos informados um sério risco de segurança, especialmente quando esses usuários podem não estar cientes disso. deixou a segurança do mainstream em primeiro lugar.
Mesmo os usuários que não procuram por software pirata podem inadvertidamente tropeçar no reempacotamento adicionado por malware ou versões copiadoras de aplicativos legítimos, com aparente “legitimidade” adicionada ao assinar novamente o aplicativo modificado ou copiador com a própria chave do uploader.
Conclusões
Com base nas descobertas do NCSC, não parece haver nenhum problema com o telefone OnePlus, o que é um pouco surpreendente, pois é a única marca das três que não foi submetida a repetidas análises negativas por administrações não chinesas.
Consumidores particularmente aventureiros e / ou que odeiam o Google podem estar razoavelmente interessados no P40 da Huawei, que parece ser mais afetado pela falta de barreiras à prevenção de malware do que a censura direta e / ou spyware.
Finalmente, recomendamos fortemente que você evite o Xiaomi Mi 10T; sua funcionalidade de lista de bloqueio desativada, mas regularmente atualizada, nos parece um aviso de supervisão direta e autorizado que não deve ser ignorado levianamente.
