Nacionalinis kibernetinio saugumo centras atliko Lietuvoje parduodamų Kinijos gamintojų „Huawei P40 5G“ , „Xiaomi Mi 10T 5G“ ir „OnePlus 8T 5G“ išmaniųjų 5G įrenginių saugumo tyrimą. Tyrimo rezultatus spaudos konferencijos metu pristatė krašto apsaugos viceministras Margiris Abukevičius ir tyrimą atlikusio NKSC Inovacijų ir mokymų skyriaus vadovas Tautvydas Bakšys.
Įvardijo keliamas rizikas
M. Abukevičius akcentavo, kad panašius tyrimus NKSC vykdo jau ne pirmą kartą, pavyzdžiui, praėjusiais metais tikrintas vaizdo kamerų saugumas.
„Mums svarbu suprasti kinų gaminamų technologijų veikimo principus ir galimas saugumo rizikas“, – kalbėjo M. Abukevičius.
Viceministro teigimu, tokiais tyrimais siekiama informuoti vartotojus apie kylančias kibernetinio saugumo rizikas.
„Tuo pačiu ne mažiau svarbu [informuoti] ir valstybės institucijas, nes jos taip pat perka šią įrangą ir naudoja“, – sakė M. Abukevičius.
Jo teigimu, tyrime nustatytas rizikas galima sugrupuoti į tris dalis. Pirmoji – duomenų nutekėjimo rizika.
„Šie tirti įrenginiai renka daug daugiau perteklinės informacijos apie vartotoją, jo elgesį, nei JAV ar Pietų Korėjoje gaminami įrenginiai“, – pažymėjo viceministras.
Antrasis tyrime paaiškėjęs aspektas – viena tirta kompanija nuolat atnaujina raktinių žodžių sąrašą, kuris, jeigu būtų aktyvuotas, taptų cenzūros įrankiu.
„Jeigu ši funkcija aktyvuota, ieškant pagal tuos raktinius žodžius, rezultatai yra filtruojami. Europoje šis funkcionalumas neveikia, bet tyrėjai nustatė, kad jį lengva aktyvuoti nuotoliniu būdu. <...> Šis funkcionalumas nėra naudojamas, bet jis yra ir tai kelia riziką“, – teigė M. Abukevičius.
Trečias atradimas – „Huawei“ telefonuose yra automatinė galimybė vartotoją, kuris ieško programėlės, nukreipti į nesaugias elektronines parduotuves ir parsisiųsti užkrėstų programėlių.
„Tai atveria jau visiškai naują perspektyvas ir naujas rizikas, nes kiekviena tuo metu užkrėsta aplikacija gali veikti savo režimu ir kelti jau visai kitas rizikas“, – kalbėjo M. Abukevičius.
Draus valstybės institucijoms pirkti kinų telefonus
Viceministro teigimu, paaiškėjus tyrimo rezultatams, pažiūrėta, ar tokią įrangą perka valstybės institucijos. Pasak M. Abukevičiaus, per pusantrų metų virš 200 valstybės ar viešojo sektoriaus institucijų įsigijo tokius nesaugius telefonus, iš viso – virš 4,5 tūkst. telefonų.
„Šitas tyrimas yra tik iliustracija tų problemų, apie kurias nauja Vyriausybė pradėjo kalbėti. Yra labai aiškiai išsikeltas politinis tikslas – atsisakyti nepatikimos įrangos valstybės institucijose. Raginimas būtų jau dabar apie tai galvoti, nebepirkti naujų Kinijos gamintojų telefonų, per įmanomai greičiausią laiką jų atsisakyti“, – sakė viceministras.
Pasak M. Abukevičiaus, jau ruošiami įstatymo projektai, kurie užtikrins, kad tiek nacionaliniam saugumui svarbios įstaigos, tiek valstybės institucijos nebegalėtų pirkti nesaugios įrangos.
Pasiuntė raginimą gyventojams
M. Abukevičius turėjo žinutę ir paprastiems gyventojams, turintiems ar dar norintiems įsigyti Kinijos gamintojų telefoną.
„Kiekvienas vertina savo riziką. Jeigu mes kalbame apie duomenų nutekėjimą, galimybę atsisiųsti užkrėstas programas, tai kiekvienas turi įsivertinti, kodėl jis naudoja šį telefoną ir ar tos rizikos atsveria ekonominę naudą perkant pigesnį telefoną ar greitesnį telefoną.
Šioje vietoje, kai mes kalbame apie gyventojus, mes galime tik rekomenduoti ir atkreipti dėmesį. Kai kalbame apie valstybės institucijas, mes turime daugiau svertų ir politinių sprendimų pagalba išspręsti problemą. Kalbant apie gyventojus, tai tik informacija ir raginimas apsispręsti racionaliai, sąmoningai“, – sakė M. Abukevičius.
„Xiaomi“ išdėstė savo poziciją
Pasak „Xiaomi” atstovų, įrenginiai necenzūruoja nei įeinančios, nei išeinančios vartotojų komunikacijos.
„Xiaomi” niekada neribojo ir neribos tokiosasmeninės vartotojų elgsenos kaip naršymas internete, informacijospaieška, skambinimas ar trečiųjų šalių bendravimo programėliųnaudojimas. „Xiaomi” gerbia ir saugo visų savo vartotojų teises beilaikosi Europos Sąjungos bendrojo duomenų apsaugos reglamento (BDAR)”, – rašoma atstovų komentare.
Ką daro išmanusis telefonas jums nežinant: trijų Kinijoje pagamintų 5G mobiliųjų įrenginių tyrimas
Tyrimo metu buvo nustatytos 4 esminės kibernetinio saugumo rizikos. Dvi susijusios su gamintojo įrenginiuose įdiegtomis programėlėmis, viena su asmens duomenų nutekėjimo rizika ir viena su galimais žodžio laisvės ribojimais. „Xiaomi“ gamintojo įrenginyje nustatytos trys rizikos, „Huawei“ – viena, „OnePlus“ gamintojo mobiliajame įrenginyje kibernetinio saugumo pažeidžiamumų identifikuota nebuvo.
Analizuodami „Huawei“ išmaniojo 5G telefono veiklą, tyrėjai nustatė, kad įrenginyje įdiegta oficiali gamintojo mobiliųjų programėlių parduotuvė „App Gallery“, neradusi vartotojo pageidaujamos programėlės, automatiškai nukreipia jį į trečiųjų šalių el. parduotuves, kuriose dalis programėlių antivirusinių programų buvo įvertintos kaip kenkėjiškos ar užkrėstos virusais.
Kibernetinio saugumo riziką tyrėjai priskyrė ir „Xiaomi“ gamintojo naršyklei „Mi Browser“. Ji naudoja ne tik įprastą kitose naršyklėse „Google Analytics“ modulį, bet ir kinišką „Sensor Data“, kuris renka ir periodiškai išsiunčia net 61 parametro duomenis apie vartotojo telefone atliekamus veiksmus.
Analizuodami „Xiaomi“ įrenginio veikimą, tyrėjai nustatė, kad jame yra įdiegta techninė galimybė vykdyti į jį atsisiunčiamo turinio cenzūrą. Net kelios telefone esančios gamintojo programėlės, tarp kurių yra ir naršymo programėlė „Mi Browser“, periodiškai gauna gamintojo sudaromą blokuojamų raktažodžių sąrašą. Užfiksavus, kad vartotojo pageidaujamame atsiųsti turinyje yra sąraše esantys žodžiai, įrenginys tokį turinį automatiškai blokuoja.
Tyrimo metu sąraše buvo 449 raktažodžiai ar jų grupės kinų rašmenimis, tokie kaip „Laisvas Tibetas“, „Amerikos balsas“, „demokratinis judėjimas“, „tegyvuoja Taivano nepriklausomybė“ ir kt.
Asmens duomenų nutekėjimo rizika buvo nustatyta „Xiaomi“ įrenginyje vartotojui pasirinkus naudotis „Xiaomi“ debesijos paslauga „Xiaomi Cloud“. Norint aktyvuoti šią paslaugą, iš įrenginio yra išsiunčiama šifruota SMS registracijos žinutė, kuri vėliau niekur nėra išsaugoma.
2020 m. Kinijos gamintojai „Huawei“, „Xiaomi“ ir „OnePlus“ Lietuvos rinkai pristatė penktos kartos 5G mobiliojo ryšio technologiją palaikančius išmaniuosius mobiliuosius telefonus. Remiantis tarptautine kibernetinių pažeidžiamumų duomenų baze (Common Vulnerabilieties and Exposures https://cve.mitre.org), per pastaruosius ketverius metus visų šių gamintojų įrenginiuose buvo nustatytos kibernetinio saugumo rizikos. „Xiaomi“ produkcijoje buvo fiksuoti 9 pažeidžiamumai, susiję su asmens duomenų nutekinimo rizikomis, „Huawei“ – 144 pažeidžiamumai, kurių dauguma buvo susiję su įrenginių funkcionalumo trikdymu, „OnePulse“ – vienas pažeidžiamumas dėl trečiųjų šalių programėlės, siunčiančios SMS žinutes, net tada, kai mobilusis įrenginys yra užrakintas.
Su Lietuvoje tiekiamų 5G ryšio technologiją palaikančių mobiliųjų įrenginių kibernetinio saugumo vertinimu galima susipažinti čia.
