Новые смартфоны Huawei и Xiaomi имеют шпионские закладки
Литовский Национальный центр кибербезопасности (NCSC) недавно опубликовал отчёт о проверке безопасности трёх новых моделей китайского производства: Huawei P40 5G, Xiaomi Mi 10T 5G и OnePlus 8T 5G. В модели от Xiaomi обнаружились программные модули, обеспечивающие передачу данных китайским властям и цензуру по вопросам, которые официальный Пекин считает политически важными. В модели от Huawei вместо Google Play используется собственный аналог, предлагающий перепакованные приложения с потенциально опасными модулями. Только к OnePlus 8T 5G у ведомства не нашлось претензий.
В комплекте ПО с Xiaomi Mi 10T 5G поставляется браузер собственной разработки Mi Browser. В коде приложения обнаружились два компонента, которые не понравились специалистам NCSC: Google Analytics и менее известный модуль Sensor Data. Встроенный в браузер модуль Google Analytics считывает историю посещений и поиска в браузере, после чего эти данные отправляются на серверы Xiaomi — и неизвестно, что происходит с ними дальше. Модуль активируется автоматически при первом запуске телефона или после сброса настроек до заводских.
Модуль Sensor Data, как выяснили эксперты литовского ведомства, собирает статистику по 61 параметру: время активации приложения, используемый язык и многое другое. Статистика шифруется и отправляется на серверы Xiaomi в Сингапуре — в этой стране не действует европейский закон GDPR, кроме того, здесь отмечались инциденты с нарушением конфиденциальности пользователей. Ещё одной странностью оказалась «тихая» регистрация номера мобильного телефона, опять же, на серверах в Сингапуре через зашифрованное SMS-сообщение при активации облачных сервисов Xiaomi. Номер телефона отправляется независимо от того, привязывает пользователь свой номер к аккаунту или нет, при этом зашифрованное SMS-сообщение для пользователя не отображается.
Некоторые системные приложения от Xiaomi на Mi 10T 5G регулярно скачивают файл MiAdBlackListConfig с сингапурских серверов. В этом файле NCSC обнаружил 449 записей, относящихся к религиозным, политическим и социальным группам. Программные классы в этих приложениях Xiaomi используют данный файл для анализа мультимедиа, которые воспроизводятся на устройствах, и если обнаруживается совпадение с «нежелательными» ключевыми словами, то такой контент может блокироваться. Специалисты NCSC обнаружили, что фильтрация контента через MiAdBlackListConfig по факту отключена на устройствах, зарегистрированных в Евросоюзе, но телефоны всё равно продолжают регулярно загружать этот чёрный список — эксперты уверены, что фильтрация может быть в любой момент удалённо активирована.
Ситуация с моделью Huawei P40 5G имеет существенные отличия. Ведомство не обнаружило здесь модулей слежения и фильтрации контента по образцу Xiaomi Mi 10T 5G, однако структура ПО экспертов снова не порадовала. Наиболее очевидной проблемой устройства оказалась вынужденная замена Google Play Store собственным магазином приложений Huawei AppGallery. Как выяснили специалисты NCSC, если пользователь ищет здесь конкретное приложение, то при отсутствии совпадений в самом AppGallery производится перенаправление на сторонние ресурсы: Apkmonk, APKPure, Aptoide и другие. Установив несколько приложений через AppGallery и связанные с ним сторонние платформы, эксперты просканировали их при помощи инструментов VirusTotal и обнаружили потенциально вредоносное ПО в трёх приложениях.
Едва ли можно с ходу согласиться с выводами NCSC о вредоносном ПО, поскольку специалисты ведомства не стали проводить дополнительный анализ приложений, которые не понравились VirusTotal, да и вероятность ложных срабатываний всегда присутствует. Однако скрытое перенаправление из AppGallery на сторонние ресурсы действительно может означать некоторый риск для устройства. Apkmonk, APKPure и Aptoide являются достаточно известными альтернативами Google Play Store, но они контролируются менее тщательно. В частности, у Aptoide есть основной репозиторий, который контролируется администрацией сервиса, сканируется и кажется таким же безопасным, как Play Store. Однако сервис позволяет всем желающим создавать на платформе собственные репозитории APK: на случай, если приложение может исчезнуть с платформы Google, либо для разработчиков, которые хотят разместить собственные приложения.
Простота создания репозитория на Aptoide и преобладание пиратских и взломанных приложений в персональных аккаунтах создаёт для некоторых легкомысленных пользователей потенциальную угрозу, особенно когда они не осознают, что скачивают непроверенный контент вне основного безопасного канала. Даже пользователь, который не ищет пиратских приложений, может непреднамеренно наткнуться на перепакованный экземпляр с вредоносными модулями. Повторимся, претензий к модели OnePlus 8T 5G у специалистов NCSC не оказалось. Пользователям, которые по каким-либо причинам не любят сервисы Google, может понравиться отвязанный от них Huawei P40 5G, но необходимо помнить, что он потенциально менее защищён от вредоносного ПО. Что же касается Xiaomi, то в ответ на расследование литовского ведомства производитель сделал заявление, что не собирается каким-либо образом вмешиваться в действия пользователя. Однако инструменты для этого на смартфоне всё-таки имеются, и данные, похоже, обновляются регулярно.
