Litvanya Savunma Bakanlığı’na bağlı Ulusal Siber Güvenlik Merkezi (NCSC), ülkede güvenli yazılım ve donanım kullanımının sağlanması amacıyla Çinli üreticiler tarafından üretilen 5G destekli popüler üç akıllı modeli için hem Litvanyaca hem de İngilizce dilinde bir denetim raporu yayınladı. Yayınlanan rapora göre, bu cihazların gerek güvenlik yönünden, gerek kanunlardaki gizlilik maddelerini ihlal etmesi ve gizli sansür yeteneklerini gerekçe gösterip, bu üç cihazdan en az ikisinin kullanımınından kaçınılması veya tamamiyle kullanılmaması yönünde tavsiye edildi.
Ulusal Siber Güvenlik Merkezi tarafından denetime tabi tutulan cihazlar şu şekilde:
— OnePlus 8T 5G
— Huawei P40 5G
— Xiaomi Mi 10T 5G
Bu markaların popüler ve iyi bilinmesine karşın, 2017-2021 yılları arasında bu üreticilerin ürünlerini kullanan kurum ve kullanıcılarının bazı güvenlik sorunlarıyla karşılaştığı belirtiliyor. CVE veri tabanı kaynak gösterilerek verilen bilgilere göre:
— Xiaomi ürünlerinde kişisel veri sızıntısı riskine ilişkin 9 güvenlik açığı tespit edildiği, bu güvenlik açıklıklarının 8 tanesinin uzaktan komut ile istismar edilebildiği (açıklıklar kapanmadan önce) belirtiliyor.
— Huawei ürünlerinde, çoğu cihaz işlevselliğinin bozulmasıyla ilgili 144 tane güvenlik açığı tespit edildiği, bunların 28’i 2020’de – 23 taneside 2021 yılında tespit edilmiş.
Xiaomi’de Gizli sansür modülü
Yayınlanan rapora göre, Xiaomi’ye ait Mi 10T 5G modeli ile ilgili gizli sansür ve diğer Xiaomi cihazlarda gizli veri toplama modülü tespit edildi. Mi 10T 5G modelinde tespit edilen gizli sansür modülünün hem Çince hem de Latince karakterlerdeki 449 anahtar kelimeyi algılayıp, sansürleyebildiği tespit edilmiş. Bu anahtar kelimelerden bazılarının “Özgür Tibet”, “Amerika’nın Sesi“, “Tayvan bağımsızlığı” ve “demokrasi hareketi” olduğu belirtiliyor.
Yetkililer, bu gizli sansür modülün Litvanya ve AB bölgesinde devre dışı bırakıldığını ancak Xiaomi’nin kullanıcıların bilgisi olmadan herhangi bir zamanda sansür modülünü sessizce etkinleştirmesine izin verebilecek bir işlev bulduklarını belirtiyor.
Xiaomi’de gizli bir şekilde veri toplanıyor
Gizli bir şekilde veri toplanılmasına ilişkin iki farklı mekanizma tespit edilmiş. İlk olarak kullanıcıların veya kurumların Xiaomi’ye ait Cloud hizmetini seçip, kullanmasıyla birlikte Xiaomi’nin Singapur’daki sunuculara şifreli bir SMS mesajı gönderdiği tespit edilmiş. Litvanya makamlarını kuşkulandıran diğer bir noktada, ilgili SMS’in sunuculara gönderildikten sonra kendisini kullanıcıdan gizlemesi olarak belirtiliyor. Raporun yazarlarından Dr. Tautvydas Bakšys Çarşamba günü yaptığı açıklamada; müfettişlerin bu şifreli mesajın içeriğini okuyamadığı, bu yüzden cihazın hangi bilgileri gönderdiğini söyleyemeceklerini belirtti.
İkinci olarak Xiaomi’nin, telefonlarında hazır yüklü olarak gelen Mi Browser uygulaması aracılığıyla cihaz ve sahibi hakkında 61’e yakın farklı veriyi topladığı da tespit edilmiş.
Bunun haricinde Çinli internet şirketi Tencent tarafından işletilen dünya çapındaki sunuculara “belirli uygulamaların etkinliğine ilişkin istatistiksel veriler” gönderildiği de tespit edilmiş.
Huawei uygulama mağazası da risk teşkil ediyor
Ulusal Siber Güvenlik Merkezi tarafından denetime tabi tutulan diğer bir model ise Huawei’ye ait P40 5G olmuştu. Diğer modellere nazaran bu cihazla ilgili casusluk veya veri transferi yönünde bulgulara ulaşılmasada uygulama yükleme tarafında önemli noktalar tespit edilmiş.
Huawei’nin varsayılan uygulama mağazası olarak gelen AppGallery’de herhangi bir uygulama için arama yapan kullanıcılar eğer aradıkları uygulama burada yer almıyorsa, Huawei tarafından APKMonk, APKPure ve Aptoide dahil ancak bunlarla sınırlı olmamak üzere üçüncü taraf uygulama mağazalarında arama yapılıp, kullanıcıya sunduğu tespit edilmiş. Litvanyalı araştırmacılar, Huawei P40’ı kullandığı süreç boyunca üç kötü amaçlı uygulama ile karşılaşmış.
