Litauens Vize-Verteidigungsminister Margiris Abukevicius hat Verbrauchern empfohlen, "keine neuen chinesischen Mobiltelefone zu kaufen". Nutzer sollten zudem versuchen, bereits erstandene Smartphones aus dem Reich der Mitte "so schnell wie möglich loszuwerden". Dies erklärte der Regierungsvertreter laut Agenturberichten am Dienstag bei der Präsentation einer Analyse der litauischen Cybersicherheitsbehörde von drei 5G-Handys chinesischer Hersteller, bei denen es sich um das Huawei P40, das Xiaomi Mi 10T und das OnePlus 8T handelte.

Das nationale Cybersicherheitszentrum hat die Untersuchung laut Abukevicius durchgeführt, "um den sicheren Einsatz von 5G-Geräten und Software in Litauern sicherzustellen". Es seien daher in dem Land verfügbare Smartphones ausgewählt worden, die "von der internationalen Gemeinschaft als etwas riskant" eingeschätzt worden seien.

Schwachstellen bei Xiaomi und Huawei

Bei der Inspektion fanden die Experten "vier wesentliche Gefahren im Bereich Cybersicherheit", schreibt das Verteidigungsministerium. In zwei Fällen ging es demnach um vorinstallierte Apps, einmal um den Datenschutz und das andere Mal um "einen möglichen Verstoß gegen das Gebot der Redefreiheit". Drei der Schwachstellen und Probleme seien bei Xiaomi-Handys entdeckte worden, eine Lücke habe Huawei betroffen. Beim Gerät von OnePlus seien die Analysten nicht fündig geworden.

Beim Huawei P40 bemängeln die Prüfer, dass der offizielle, vom Hersteller installierte App Store AppGallery Nutzer automatisch auf Online-Shops von Drittanbietern weiterleite, wenn sie nicht gleich fündig würden. Bei einem Teil der dort feilgebotenen Apps habe ein Anti-Viren-Scanner angeschlagen, andere seien als "infiziert" ausgemacht worden.

Zensur inside

Bei der Prüfung des Xiaomi-Geräts haben die Experten nach eigenen Angaben eine technische Funktion aufgedeckt, die den Inhalt heruntergeladener Inhalte zensieren könnte. Mehrere Apps auf dem Smartphone inklusive dem vorinstallierten Mi-Browser laden demnach regelmäßig eine Liste mit verbotenen Schlüsselwörtern vom Hersteller herunter. Wenn der Inhalt, den der Nutzer herunterlädt, Begriffe aus dieser Liste enthalte, werde er automatisch blockiert.

Zum Zeitpunkt der Untersuchung soll die Liste 449 Schlüsselwörter und Kombinationen in chinesischen Schriftzeichen umfasst haben, heißt es in dem Bericht. Dazu gehörten "Freiheit für Tibet", "Amerikas Stimme", "Demokratiebewegung" und "Lang lebe das demokratische Taiwan".

Filterfunktion in Litauen deaktiviert

"Wir haben festgestellt, dass die Inhaltsfilterfunktion in den nach Litauen gelieferten Xiaomi-Mobiltelefonen deaktiviert ist und keine Zensurtätigkeit ausübt", erläuterte Tautvydas Bakšys, Leiter der Innovationsabteilung des Cybersicherheitszentrums. Die Listen würden aber weiterhin regelmäßig aktualisiert. Das Gerät sei so "technisch in der Lage, die Funktion jederzeit aus der Ferne und ohne Erlaubnis des Nutzers zu aktivieren und mit der Zensur der heruntergeladenen Inhalte zu beginnen." Man schließe nicht aus, dass die Liste der verbotenen Schlüsselwörter auch mit lateinischen Buchstaben erstellt werden könne.

Die Aktivierung des Cloud-Speicherdienstes für das Mi 10T erfordert der Analyse zufolge ferner das Senden einer verschlüsselten SMS zur Registrierung, die nicht auf dem Gerät gespeichert wird. Die Ermittler seien aber nicht in der Lage, "die verschlüsselte Nachricht zu lesen und ihren Inhalt zu verifizieren", moniert Bakšys. Die automatisierte Nachrichtenübermittlung und die vom Hersteller verborgenen Inhalte stellten eine potenzielle Sicherheitsbedrohung dar, "da sie die Erfassung und den Transfer nicht identifizierbarer personenbezogener Daten an Server in Drittländern ermöglichen".

Zudem störte die Experten, dass der MI-Browser für Tracking neben Google Analytics auch Sensordaten verwendet. Damit würden Informationen zu 61 Funktionen über Nutzeraktivitäten auf dem Gerät gesammelt, das dann wiederum regelmäßig nach Hause telefoniere. Bakšys geht hier von einer "übermäßigen" Datenerhebung aus. Riskant dabei sei auch, dass die zahlreichen statistischen Informationen wiederum über einen verschlüsselten Kanal an Xiaomi-Server in Drittländern geschickt würden, "die sich nicht an die Datenschutz-Grundverordnung halten". (axk)