Uutisoimme reilut kaksi viikkoa sitten Liettuan kyberturvallisuusviranomaisten raportoineen, että Xiaomin puhelimet ovat kykeneviä sensuroimaan käyttäjiään. Asiaan otti pian julkaisun jälkeen kantaa myös XDA-Developerin toimittaja Adam Conway, jonka tutkimusten mukaan löydetty data vaikuttaisi viittaavan käyttöliittymän sisäisten mainosten ohjaamiseen, eikä käyttäjän sensurointiin. Nyt asiaan on tutustunut myös Suomen Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus.
Suomen Kyberturvallisuuskeskuksen toteaa Liettuan raportin pitävän sisällöllisesti pääosin paikkansa ja on jakanut kyseisen raportin neljään pääkohtaan:
1. Tutkituissa laitteissa voi olla oletusasetuksin käytössä kolmansien osapuolten sovelluskauppoja.
2. Tutkittujen laitteiden käyttöön liittyviä tietoja voidaan lähettää ETA-alueen ulkopuolelle. Näitä ovat raportin mukaan muiden muassa mihin verkkopalveluihin käyttäjä on kirjautunut, käytetty kieli, eri ohjelmistojen versiot ja tiedot laitteen eri toimintojen käyttöönotosta.
3. Tietyissä EU/ETA-alueen ulkopuolisissa maissa myytävissä laitteissa niiden mainosalustoilla voidaan tehdä mainoksien suodatusta valikoituihin asiasanoihin perustuen.
4. Tutkituissa laitteissa käyttäjän puhelinnumero saatetaan lähettää ETA-alueen ulkopuolelle ilman käyttäjän erillistä hyväksyntää.
Toisin sanoen Kyberturvallisuuskeskuksen mukaan Liettuan raportti ei sisällä suoranaista vihjettä käyttäjän sensuurista, vaan sensuuri liittyy kohdan kolme mukaisesti mainontasuodatukseen, kuten XDA Developersin Adam Conwaykin totesi, eikä noita asiasanalistoja käytetä mihinkään muuhun, kuten esimerkiksi selaimella tai sovelluksissa tehtyihin hakuihin.
Käyttäjien tietojen käsittelystä, eli kohtien kaksi ja neljä sisällöistä, Kyberturvallisuuskeskus toteaa käyttö- ja laitetietojen keräämisen olevan yleistä kaikkien valmistajien laitteissa. ETA-alueen ulkopuolelle tietoa puolestaan liikkuu raportin mukaan käyttäjän antaessa suostumuksensa käyttötottumusohjelmaan.
Kohta yksi, eli kolmannen osapuolen sovelluskauppa, voi Kyberturvallisuusviraston mukaan kuitenkin olla sisällöistä ainoa tietoturvallisuuden kannalta lisäriskiä aiheuttava asia, mikäli sinne voidaan ladata sovelluksia, joita laitevalmistajat eivät ole hyväksyneet tietoturvasyistä. Kyberturvallisuuskeskus suosittelee laitteesta riippumatta sovellusten lataamista ensisijaisesti puhelinvalmistajan tai käyttöjärjestelmävalmistajan sovelluskaupasta.
Lähde: Kyberturvallisuuskeskus
Ei voi olla. Niitä joko on tai ei ole.
2. Tutkittujen laitteiden käyttöön liittyviä tietoja voidaan lähettää ETA-alueen ulkopuolelle. Näitä ovat raportin mukaan muiden muassa mihin verkkopalveluihin käyttäjä on kirjautunut, käytetty kieli, eri ohjelmistojen versiot ja tiedot laitteen eri toimintojen käyttöönotosta.
Onpa ylläri, jos kirjautuu palveluun se lähettää tietoja. Ei kai se muuten palvelu olisikaan.
3. Tietyissä EU/ETA-alueen ulkopuolisissa maissa myytävissä laitteissa niiden mainosalustoilla voidaan tehdä mainoksien suodatusta valikoituihin asiasanoihin perustuen
Edelleen, tehdäänkö vai eikö tehdä.
4. Tutkituissa laitteissa käyttäjän puhelinnumero saatetaan lähettää ETA-alueen ulkopuolelle ilman käyttäjän erillistä hyväksyntää.
Edelleen lähetetäänkö vai eikö lähetetä.
Kuulostaa aika savolaiselta poliisilta joka on löytäny todisteet rikokseen:
Suattaapi olla syyllinen tai sitten suattaapi olla että ei ole.
No siis noihin kaikkiin kohtiin voidaan vastata että asia on mahdollista tehdä. Se, että onko tehty, niin sitä ei tiedetä. EU -kansalaisia koskee lähinnä kohta 4. Hankala tietysti tietää mitä lähetetään minnekin, kun se kaikki data on enkoodattu eikä purkuavainta ole.
Ongelma noissa Kiina luureissa on myöskin se, että mukana tuleva ROM voi olla joko mallia Kiina, taikka joku EU "riisuttu" malli ja kaikkea siltä väliltä (riippuu mistä ostat), mitä seurannu markkinoita. Eli aika mahdoton on vastata KYLLÄ/EI juurikin noihin kysymyksiin…
Juuri näin, ja sitten se juttu vaikka nyt ei olisikaan tai lähettäisikään, niin jokin poliittinen tai kaupallinen asia kun menee Kiinan kanssa vähän ristiin, niin alkaa data virtaamaan Kiinaan ja myöskin on mahdollista, että kaikki toiminta laitteelta blokataan kokonaan..
Sillä on tarkoitus suodattaa jotain demokratiaan viittaavaa tietyillä markkinoilla (lue: Kiinan markkinoilla)
Meinaat että Euroopasta ei tutkijoilta löytyisi kompetenssia kaivamaan salausavainta puhelimen muistista?
Eihän siitä ole kuin reilu vuosi kun Xiaomin oman selain applikaation huomattiin lähettävän telemetriadataa myös incognito-tilassa. Andrew Tierney nosti asian esille ja muistaakseni Xiaomi joutui lopulta myöntämään virheensä ja selaimeen tuli päivitys.
Se oli se latvialainen poliisi. Kyberturvallisuuskeskus on antanut lausunnon latvialaisten raportista, eivättutkineet Xiaomin laitteita (vua suattoop kai nuot olla senki teheneet…)
Jos lukee tuon heidän artikkelin, niin siellä selkeästi sanotaa:
Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen oman teknisen selvityksen perusteella voimme vahvistaa
Eli eiköhän ne ole itsekin asiaa silloin tutkineet laitetasolla, tai ainakin minulle tulee tuosta selkeästi sellainen kuva.