Das litauische Nationale Zentrum für Cybersicherheit führte eine Cybersicherheitsbewertung von 5G-Smartphones chinesischer Hersteller durch, die in Litauen ausgeliefert wurden: Huawei P40 5G, Xiaomi Mi 10T 5G, OnePlus 8T 5G. „Unsere Empfehlung lautet, keine neuen chinesischen Handys zu kaufen und die bereits gekauften so schnell wie möglich loszuwerden“, sagte der stellvertretende Verteidigungsminister Margiris Abukevičius.
„Die Studie wurde initiiert, um eine sichere Nutzung von 5G-Geräten und -Software in Litauen zu gewährleisten. Zu diesem Zweck haben wir drei chinesische Hersteller untersucht, die seit letztem Jahr 5G-Mobilgeräte für litauische Verbraucher anbieten und von der internationalen Gemeinschaft als ein gewisses Cybersicherheitsrisiko eingestuft wurden“, so Abukevičius.
Die Untersuchung ergab vier wesentliche Cybersicherheitsrisiken: zwei betreffen eingebaute Apps, eines die Sicherheit personenbezogener Daten und ein weiteres eine mögliche Kollision mit dem Gebot der Meinungsfreiheit. Drei der Cybersicherheitsrisiken wurden bei Xiaomi-Handys gefunden, eines bei Huawei, und bei OnePlus wurden keine Cybersicherheitslücken festgestellt.
Risiken durch Hersteller-Apps
Bei der Bewertung eines Huawei 5G-Handys wurde festgestellt, dass AppGallery, der vom Hersteller installierte offizielle App-Store, automatisch zu den E-Shops des Herstellers weiterleitet, wenn er nicht das enthält, wonach der Nutzer sucht. Ein Teil der in solchen E-Shops angebotenen Apps wird von Antivirenprogrammen als Malware erkannt oder infiziert.
Die Untersuchung führte die Cybersicherheitsrisiken auch auf den Mi Browser zurück, den Webbrowser auf den von Xiaomi hergestellten Handys. Er nutzt nicht nur Google Analytics wie andere Browser, sondern auch chinesische Sensordaten, die Daten zu 61 Funktionen über die Nutzeraktivitäten auf dem Gerät sammeln und regelmäßig versenden.
„Unserer Ansicht nach handelt es sich dabei um eine übermäßige Sammlung von Informationen über Nutzeraktivitäten. Ein weiterer Risikofaktor ist die Tatsache, dass die zahlreichen statistischen Daten über einen verschlüsselten Kanal an Xiaomi-Server in Drittländern gesendet werden, die sich nicht an die allgemeine Datenschutzverordnung halten, und dort auch gespeichert werden“, sagt Dr. Tautvydas Bakšys, Leiter der Abteilung für Innovation und Schulung des Nationalen Zentrums für Cybersicherheit des Ministeriums für nationale Verteidigung.
Mögliche Eingriffe in die Meinungsfreiheit
Bei der Überprüfung eines Xiaomi-Geräts wurde eine technische Funktion entdeckt, die den Inhalt von heruntergeladenem Material zensieren könnte. Mehrere Apps auf dem Smartphone, darunter Mi Browser, laden regelmäßig eine Liste mit verbotenen Schlüsselwörtern vom Hersteller herunter. Wenn der Inhalt, den der Nutzer herunterlädt, Schlüsselwörter aus dieser Liste enthält, wird er automatisch blockiert.
Zum Zeitpunkt der Untersuchung umfasste die Liste 449 Schlüsselwörter und Schlüsselwortkombinationen in chinesischen Schriftzeichen, z. B. freies Tibet, Amerikas Stimme, demokratische Bewegung, Lang lebe das demokratische Taiwan usw.
„Wir haben festgestellt, dass die Inhaltsfilterfunktion in den nach Litauen gelieferten Xiaomi-Mobiltelefonen deaktiviert ist und keine Inhaltszensur durchführt, jedoch werden die Listen der zensierten Schlüsselwörter weiterhin regelmäßig aktualisiert. Das Gerät ist technisch in der Lage, die Funktion jederzeit aus der Ferne und ohne Erlaubnis des Benutzers zu aktivieren und mit der Zensur der heruntergeladenen Inhalte zu beginnen. Wir schließen nicht aus, dass die Liste der verbotenen Schlüsselwörter nicht nur mit chinesischen, sondern auch mit lateinischen Schriftzeichen erstellt werden kann“, sagte Bakšys.
Risiko für die Sicherheit personenbezogener Daten
Das Sicherheitsrisiko für personenbezogene Daten wurde bei einem Xiaomi-Gerät, genauer gesagt beim Xiaomi Cloud-Dienst, festgestellt. Die Aktivierung des Dienstes erfordert das Senden einer verschlüsselten SMS-Nachricht zur Registrierung, die nicht auf dem Gerät gespeichert wird.
„Die Ermittler waren nicht in der Lage, die verschlüsselte Nachricht zu lesen und ihren Inhalt zu verifizieren. Die vom Hersteller verborgenen automatischen Nachrichten und Inhalte stellen eine potenzielle Bedrohung für die Sicherheit personenbezogener Daten dar, da sie die Erfassung und Übertragung nicht identifizierbarer personenbezogener Daten an Server in Drittländern ermöglichen“, so Bakšys.
Warum gerade die Hersteller?
Die chinesischen Hersteller Huawei, Xiaomi und OnePlus haben im Jahr 2020 Smartphones der fünften Generation, die 5G-Mobilfunk unterstützen, auf dem litauischen Markt eingeführt. Laut der internationalen Datenbank Schwachstellen und Risiken wurden in den letzten vier Jahren Cybersicherheitsrisiken bei Geräten aller genannten Hersteller festgestellt. Bei Xiaomi-Produkten wurden 9 Schwachstellen in Bezug auf die Sicherheit personenbezogener Daten gefunden, bei Huawei-Produkten wurden 144 Schwachstellen festgestellt, von denen die meisten Eingriffe in die Gerätefunktionen betrafen, und bei OnePulse-Produkten wurde eine Schwachstelle gefunden, die eine Drittland-App betraf, die SMS-Nachrichten auch dann versandte, wenn das Gerät gesperrt war.
Hadrian Schattner lebte von 1998 bis 2012 in der chinesischen Sonderverwaltungszone Hongkong und heute in Berlin und Europa.
