Litauen warnt vor Kauf chinesischer 5G-Smartphones

Sicherheit (Pexels, allgemeine Nutzung)Die Regierung Litauens – oder genauer, dass Verteidigungsministerium – hat eine Warnung an ihre Bürgerinnen und Bürger herausgegeben, keine chinesischen Smartphones mehr zu kaufen. Selbst bestehende Geräte sollten außer Betrieb genommen werden. Der Hintergrund dieser Warnung ist die Erkenntnis, dass in allen drei überprüften 5G-Smartphones der Hersteller Huawei oder Xiomei Zensurfunktionen gefunden wurden.


Anzeige

Ich bin bereits die Tage beim RND auf diesen Beitrag gestoßen, heise hat es inzwischen in diesem Artikel aufbereitet. Mehr Details bietet aber die Veröffentlichung des Verteidigungsministeriums. Das Thema ist aber hier etwas liegen geblieben, so dass ich es mal aufbreite

Drei 5G-Smartphones wurden untersucht

Aktuell sind ja 5G-fähige Smartphones der letzte Schrei, und in Litauen können die Geräte wohl auch schon gut eingesetzt werden. Das Nationale Zentrum für Cybersicherheit, das dem Ministerium für nationale Verteidigung untersteht, hat daher eine Cybersicherheitsbewertung von 5G-Smartphones chinesischer Hersteller durchgeführt. Der stellvertretende Minister für nationale Verteidigung Margiris Abukevičius sagte dazu:

Die Studie wurde initiiert, um eine sichere Nutzung von 5G-Geräten und -Software in Litauen zu gewährleisten. Zu diesem Zweck haben wir drei chinesische Hersteller untersucht, die seit letztem Jahr 5G-Mobilgeräte für litauische Verbraucher anbieten und von der internationalen Gemeinschaft als gewisse Cybersicherheitsrisiken eingestuft wurden.

Bei den Geräte, die in Litauen ausgeliefert werden, handelt es sich um das Huawei P40 5G, das Xiaomi Mi 10T 5G und das OnePlus 8T 5G. Die chinesischen Hersteller Huawei, Xiaomi und OnePlus haben im Jahr 2020 Smartphones der fünften Generation, die 5G-Mobilfunk unterstützen, auf dem litauischen Markt eingeführt. Die Geräte sind auch auf dem deutschen Markt erhältlich.

Misstrauisch wurde das Verteidigungsministerium, weil in der internationalen CVE- Datenbank in den letzten vier Jahren Cybersicherheitsrisiken bei Geräten aller genannten Hersteller dokumentiert wurden. Bei Xiaomi-Produkten wurden 9 Schwachstellen in Bezug auf die Sicherheit personenbezogener Daten dokumentiert. Bei Huawei-Produkten gab es sogar 144 Schwachstellen, von denen die meisten Eingriffe in die Gerätefunktionen betrafen. Und bei OnePulse-Produkten wurde eine Schwachstelle gefunden, die eine App aus einem Drittland betraf, die SMS-Nachrichten verschickte, selbst wenn das Gerät gesperrt war. Bei der aktuellen Untersuchung der drei oben genannten Geräte wurden vier wesentliche Cybersicherheitsrisiken festgestellt:

  • zwei Cybersicherheitsrisiken betreffen mit den Smartphones mitgelieferte Apps,
  • eines der Risiken betrifft die Sicherheit personenbezogener Daten
  • und ein weiteres Risiko bezieht sich auf Zensur (als möglicher Verstoß gegen das Gebot der Redefreiheit umschrieben)

Drei der Cybersicherheitsrisiken wurden bei Xiaomi-Handys, und eine bei Huawei gefunden. Nur bei OnePlus wurden keine Cybersicherheitslücken festgestellt.

Risiken durch vorinstallierte Apps

Hersteller liefern ja gerne Apps, oft die reinste Bloat-Ware, auf ihren Geräten mit. Bei der Überprüfung eines Huawei 5G-Handys wurde festgestellt, dass AppGallery, der offizielle, vom Hersteller installierte App-Store, automatisch zu den E-Shops des Herstellers weiterleitet, wenn er nicht das enthält, wonach der Nutzer sucht. Ein Teil der in solchen E-Shops angebotenen Apps wird von Antivirenprogrammen als Malware erkannt oder ist infiziert.

Die Untersuchung führte die Cybersicherheitsrisiken auch auf den Mi Browser zurück, den Webbrowser auf den von Xiaomi hergestellten Handys. Er nutzt nicht nur Google Analytics wie andere Browser, sondern auch chinesische Sensordaten, die Daten zu 61 Funktionen über die Nutzeraktivitäten auf dem Gerät sammeln und regelmäßig versenden.

Dr. Tautvydas Bakšys, Leiter der Abteilung für Innovation und Schulung des Nationalen Zentrums für Cybersicherheit des Ministeriums für nationale Verteidigung sagt dazu:


Anzeige

Unserer Ansicht nach handelt es sich dabei um eine übermäßige Sammlung von Informationen über Nutzeraktivitäten. Ein weiterer Risikofaktor ist die Tatsache, dass die zahlreichen statistischen Daten über einen verschlüsselten Kanal an Xiaomi-Server in Drittländern gesendet werden, die sich nicht an die allgemeine Datenschutzverordnung halten, und dort auch gespeichert werden.

Mögliche Zensurfunktionen

Bei der Überprüfung eines Xiaomi-Geräts wurde eine technische Funktion entdeckt, die den Inhalt von heruntergeladenem Material filtern und zensieren könnte. Mehrere Apps auf dem Smartphone, darunter der Mi Browser, laden regelmäßig eine Liste mit verbotenen Schlüsselwörtern vom Hersteller herunter. Wenn der Inhalt, den der Nutzer herunterlädt, Schlüsselwörter aus dieser Liste enthält, wird er automatisch blockiert.

Zum Zeitpunkt der Untersuchung umfasste die Liste 449 Schlüsselwörter und Schlüsselwortkombinationen in chinesischen Schriftzeichen, z. B. freies Tibet, Amerikas Stimme, demokratische Bewegung, Lang lebe das demokratische Taiwan usw. Dr. Tautvydas Bakšys sagt dazu:

Wir haben festgestellt, dass die Inhaltsfilterfunktion in den nach Litauen gelieferten Xiaomi-Mobiltelefonen deaktiviert ist und keine Inhaltszensur durchführt, jedoch werden die Listen der zensierten Schlüsselwörter weiterhin regelmäßig aktualisiert. Das Gerät ist technisch in der Lage, die Funktion jederzeit aus der Ferne und ohne Erlaubnis des Benutzers zu aktivieren und mit der Zensur der heruntergeladenen Inhalte zu beginnen. Wir schließen nicht aus, dass die Liste der verbotenen Schlüsselwörter nicht nur mit chinesischen, sondern auch mit lateinischen Schriftzeichen erstellt werden kann.

Das heißt mit anderen Worten: Da schlummert ein deaktivierter Trojaner, der durchaus auf Knopfdruck aktiviert werden kann. Korrespondiert mit meiner Argumentation, dass die Vorgaben der kommunistischen Partei Chinas früher oder später dazu führen, dass Software-Entwickler die betreffenden Funktionen in alle Geräte einbauen. Manches wird abgeschaltet, manches vergessen und vieles kann auf Knopfdruck aktiviert werden. Und ich hatte immer vermutet, dass dies China irgendwann auf die Füße fällt – es sei denn, die Leute sind hier schon so verblödet, dass das Zeugs trotzdem gekauft wird.

Risiko bei personenbezogenen Daten

Das Sicherheitsrisiko in Bezug auf personenbezogene Daten wurde bei einem Xiaomi-Gerät, welches einen Xiaomi Cloud-Dienst verwendet, festgestellt. Die Aktivierung des Dienstes erfordert das Senden einer verschlüsselten SMS-Nachricht zur Registrierung, die nicht auf dem Gerät gespeichert wird. Die Prüfer waren nicht in der Lage, die verschlüsselte Nachricht zu lesen und ihren Inhalt zu verifizieren. Die vom Hersteller verborgenen automatischen Nachrichten und Inhalte stellen, so T. Bakšys, eine potenzielle Bedrohung für die Sicherheit personenbezogener Daten dar, da sie die Erfassung und Übertragung nicht identifizierbarer personenbezogener Daten an Server in Drittländern ermöglichen.

Der vollständige Text der Cybersicherheitsbewertung ist öffentlich als PDF-Dokument zugänglich. Alles in allem hat das Nationale Zentrum für Cybersicherheit Litauens eine klare Botschaft an seine eigenen Bürger: Lasst die Finger von den Geräten und kauft diese nicht. Wer bereits zugeschlagen hat, möge die Geräte außer Betrieb nehmen.

Gehe ich dagegen mal in Deutschland auf die Suche, werden das Huawei P40 5G und das Xiaomi Mi 10T 5G hier nicht nur angeboten, sondern auch von diversen Medien nach Tests angepriesen. Vom BSI, was ja für Cybersicherheit zuständig wäre, höre ich diesbezüglich auch nichts.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit, SmartPhone abgelegt und mit Sicherheit, SmartPhone verschlagwortet. Setze ein Lesezeichen auf den Permalink.

18 Antworten zu Litauen warnt vor Kauf chinesischer 5G-Smartphones

  1. Kassandra sagt:

    > Da schlummert ein deaktivierter Trojaner, der durchaus auf Knopfdruck aktiviert werden kann.

    Wie in jedem anderen Gerät auch, sei es PC, Laptop, Handy aller Hersteller, IoT Krempel, Autos, Flugzeuge, Waffensysteme, sämtliche Steuergeräte, überall.

    Das zu verdrängen, wäre reine Illusion.

    • Bernd Bachmann sagt:

      Das war auch meine erste Reaktion. Ohne das chinesische Verhalten irgendwie gutheissen zu wollen — sieht das anderswo denn anders aus?

      Auf meinem PC betreibe ich die Windows-Firewall im Whitelist-Modus, d.h. alles, für das es nicht eine explizite Regel gibt, darf nicht auf das Internet zugreifen. Und mit schöner Regelmässigkeit erlebe ich, dass von mir gelöschte Firewall-Regeln, die Betriebssystem-Funktionen und Microsoft-Apps den Netzzugriff erlauben, auf magische Weise wieder auferstehen…

  2. 1ST1 sagt:

    Filterlisten unterstützen nicht nur der Mi-Browser, sondern auch Chrome, Safari und Edge. Die werden automatisch aktiv, sobald sich am Browser ein Kind mit Kinderaccount bei den genannten Herstellern anmeldet.

  3. 1ST1 sagt:

    Kann mich wohl beruhigt zurücklehnen, mein Redmi Note 8 Pro hat nur 4G. Nicht betroffen… (oder doch nicht?)

    • Kassandra sagt:

      Auch Dein Redmi Note 8 Pro hat einen Baseband Chip mit eigenem proprietärem Betriebssystem, das munter treiben kann, was es möchte, egal welche Einstellung in Android vorgenommen werden.

      Siehe z.B. https://en.wikipedia.org/wiki/Baseband_processor

      In der PC-Welt findet man ähnliche Funktionalitäten als Intel ME o.ä.

      • 1ST1 sagt:

        Hier geht es aber nicht um den Baseband Chip, sondern um die App "Mi Browser", die auf jedem (Red)Mi drauf ist, und der man nicht alle Rechte entziehen kann, die man auch nicht deinstallieren kann. Immerhin aber kann man einfach auch einen anderen Webbrowser nutzen.

        • Thomson71261 sagt:

          Ich nutze derzeit ein Redmi Note 10. Mit das erste, was ich mache, ist, den Mi Browser zu deinstallieren. Zumindest auf diesem Handy klappt das problemlos und genau so, wie mit anderen, beliebigen Apps.
          Liegt vielleicht auch daran, dass ich kein Mi-Konto habe, also auch weder deren Cloud noch andere Apps/Angebote nutze.

          Funktioniert ein Deinstallieren bei Euch nicht?

        • ralf sagt:

          mein "redmi note 10 pro" (miui 12.5.4) ist auch ohne "mi browser": ich kann mich aber nicht mehr erinnern, ob ich diese app deinstalliert habe oder ob das geraet ohne vorinstallierten "mi browser" ausgeliefert wurde. falls ich das programm deinstalliert habe, dann waren dafuer jedenfalls keine klimmzuege mit "usb debugging" und "xiaomi adb/fastboot tools" erforderlich.

          • Thomson71261 sagt:

            Der Mi-Browser ist bei mir (Redmi Note 10 – MIUI 12.5.1) vorinstalliert gewesen. Und ließ sich, wie erwähnt, problemlos über "Apps verwalten" deinstallieren, also nicht nur deaktivieren, so wie andere Mi-Apps.
            Ich habe DuckDuckGo als Standard-Browser eingerichtet, und da springt mir auch nichts dazwischen.
            Ich habe gerade noch einmal nachgeschaut:
            Mi Fernbedienung kann man auch deinstallieren, Mi Video z.B. nicht, das kann auch nicht deaktiviert werden (nur die Daten gelöscht).

  4. Jackie sagt:

    Denn Fall Huawei finde ich hier gar nicht mal so spannend, schließlich geht man heute mehr Risiko beim versehentlichen Anklicken der üblichen Werbung ein :) Huawei werde ich aber aus anderen Gründen nicht mehr kaufen, wer seine KI an eingesperrten Minderheiten trainiert wird von mir nicht auch noch mit dem Kauf eines Smartphones belohnt. Was eigentlich schade ist denn die Smartphone von denen sind eigentlich super. Da konnte man die Bloatware entweder Deinstallieren oder zumindest Deaktivieren.

    Xiaomi habe ich nie vertraut, alleine das sie soviel Werbung einblenden fand ich schon immer irgendwie ungut. Komplett dekativieren konnte man das dann irgendwie auch nicht. Wobei sie immer offen kommunizoeren das ihr Geschäft Werbung ist.

    Bemerkenswert finde ich vorallem den Fall One Plus. Denn die Mehrheit denkt bei Chinahandy an Huawei und Xiaomi und vorallem billig. Da würde ich One Plus eigentlich nicht einsortieren. Ich hatte die eigentlich mit einem kaum verschandelten Android auch mal auf der vielleicht kaufen Liste. Wobei auch die in der Vergangeheit schonmal mit irgendwas aufgefallen waren. Die One Plus Besitzer die kenne habe das eigentlich gekauft um sich nicht mit den Dramen von Chinahandys rumzuschlagen.

    Ich finde den Begriff Chinahandy ja eigentlich doof, denn es gibt wenig Smartphones die nicht dort produziert werden, vielleicht die von Samsung? Selbst die iPhones werden doch von chinesischen Studenten in Zwangsarbeit (Ähm ich meine natürlich im Rahmen eines freiwilligen Praktikums) bei Foxconn oder Pegratron, wie praktisch alle Elektronik gebaut. Zumindest kam das auch schon vor. Insgesamt scheinen diese großen Produzenten ja tolle Arbeitgeber zu sein, deswegen stürzen sich häufiger Arbeiter von deren Dächer :( Ja mein Rechner wurde dort leider sehr sicher auch produziert.

    • Bolko sagt:

      XIAOMI blendet in Europa keine Werbung ein.
      Die Querfinanzierung mittels Werbung gilt in Asien.

      • Jackie sagt:

        @Bolko Deckt sich aber weder mit meiner Erfahrung, noch der der XIAOMI Besitzer die ich kenne. Da wird sogar Werbung in den Einstellungen angezeigt. Händler war Amazon, keine Ahnung welche Version die verkaufen.

  5. Art sagt:

    Die übermäßige Gesprächigkeit der Xiaomi Android Varianten ist doch bereits seit Jahren bekannt. Ich verwende die Geräte gern – allerdings nur mit /e/ oder microG-Lineage -> die große Verbreitung sorgt für eine gute Unterstützung mit CustomROMs und die Geräte sind nicht mit proprietärem Quatsch verseucht, wie bei Samsung.
    Der SOC des erwähnten Xiaomi Geräts ist übrigens aus US – und die BLOBs werde ich auch mit CustomROMs nicht los (auch nicht in PinePhone oder Fairphone).

    Alle Smartphones sind im Zweifelsfall Wanzen, die man freiweillig mit sich herumträgt und für die man selbst bezahlt hat – Erich Mielke würde sich verwundert die Augen reiben.

    Der Hintergrund, zum Zeitpunkt dieser Meldung ist mMn ein anderer: Litauen hat einen Beef mit China, da Litauen engere Beziehungen zu Taiwan anstrebt – China ist 'not amused' und übt diplomatischen Druck aus.

  6. Bolko sagt:

    XIAOMI wird querfinanziert durch Werbung im asiatischen Raum. In Europa ist diese Werbefunktion deaktiviert. Durch die Querfinanzierung war es XIAOMI möglich, die Geräte mit nur einer geringen 5-prozentigen Marge zu verkaufen, während andere Hersteller deutlich höhere Preise verlangen.
    Die Filterliste dient dazu, von XIAOMI unerwünschte Werbung nicht anzuzeigen.

    xda-developers[.]com[slash]xiaomi-secret-blacklist-explained
    winfuture[.]de[slash]news,125375.html

    In der Sperrliste steht auch "Xiaomi Mi5".
    XIAOMI sperrt also auch Werbung für eigene alte Produkte, "zensiert" sich also selbst.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.