Proslov generálního ředitele společnosti Xiaomi, Lei Juna, při uvedení produktu na trh 15. května 2014 v Pekingu, Číně. (ChinaFotoPress/ChinaFotoPress via Getty Images)
Pracovníci z výzkumné společnosti Bluebox zjistili, že mobilní telefony největšího výrobce smartphonů v Číně, společnosti Xiaomi, mohou představovat mnohem větší bezpečnostní riziko, než se doposud tušilo.
Co se týče využití mobilních operačních systémů v Číně, jednoznačným vůdcem je Google Android, který běží asi na 90% tamějších mobilních zařízení.
A zde nastává problém. Jen velmi málo těchto zařízení, pokud vůbec, běží pod certifikovanou verzí tohoto operačního systému.
Společnost Bluebox dále konstatuje, že pokud taková zařízení nemají nainstalovanou ověřenou verzi systému Android, tak prakticky nemohou využívat služeb Google jako například Google Play Store. Zařízení by zcela jistě nemusela projít Googlem schválenou sadou testů. Zákazník tak potenciálně obdrží zařízení, které může obsahovat celou řadu známých zranitelností, které jsou u certifikované verze androidu již dávno opraveny.
Výzkumníci z Bluebox se rozhodli vycestoval do Číny a zakoupit nový mobilní produkt společnosti Xiaomi a poté se vrátit zpět a zařízení otestovat v digitální laboratoři.
Při svém zkoumání se zaměřili na dvě věci. Za prvé chtěli zjistit, zda je zařízení originál či padělek. Za druhé chtěli vědět, jakými typy slabých míst či předinstalovanými nebezpečnými aplikacemi telefon disponuje.
„U prvního testu jsme zjistili, že naše Xiaomi MI4 LTE je originálním produktem.“
„Druhý test ovšem vypráví úplně jiný příběh. Zařízení obsahovalo mnoho zranitelností a potenciálně škodlivý software.“
Na naše zjištění a otázky týkajících se bezpečnosti společnost Xiaomi zatím nereagovala.
Riziko pro uživatele
„Po spuštění antivirových testů jsme našli šest podezřelých aplikací, které lze považovat za malware, spyware nebo adware.“
Příkladem je aplikace „Yt Service“, která mimo jiné může zobrazovat nechtěné reklamy. Na první pohled tato aplikace nevypadá podezřele, avšak při bližším zkoumání se přišlo na to, že její služba vystupuje pod hlavičkou Google s názvem „com.google.hfapservice“ a snaží se tak maskovat svou činnost.
Z řady dalších hrozeb v telefonu lze jmenovat „PhoneGuardService“, která představuje dle výzkumníků klasického trojského koně, dále „AppStats“ či „SMSreg“, které jsou klasifikovány jako malware.
Pokud jde o slabá místa, dodávají, měl přístroj řadu zranitelností, ale navíc měl defaultně nastavena práva root (pozn. klasicky má uživatel omezená svá práva v systému a nemůže tedy dojít k tomu, že by bylo v systému něco nechtěně smazáno. Root práva dávají uživateli plnou kontrolu nad zařízením potřebné k některým pokročilejším úkonům, avšak neznalý uživatel může zásahy do systému telefon poškodit). Co se týče režimu ladění USB, zařízení by mělo uživatele vyzvat k potvrzení tohoto režimu po připojení k počítači.
Xiaomi Mi 4 LTE je distribuován s operačním systémem Android 4.4.4, u kterého by měl uživatel vždy ručně povolit jakékoliv spojení s počítačem.
Samozřejmě není to poprvé, co se zjistilo, že chytré telefony společnost Xiaomi špehují své uživatele.
Uživatel Kenny Li zjistil v červenci roku 2014, že aplikace Redmi Note se pokouší připojit na IP adresu v Pekingu. Tyto pokusy pokračovaly i poté, co uživatel vymazal a nainstaloval novou verzi systému Androidu. Své poznatky uživatel sdílel na fóru IMA Mobile.
V srpnu 2014 prošetřila společnost F-Secure toto tvrzení a objevila, že telefon Xiaomi obsahoval skrytý software, který se snažil ukrást uživatelská data a posílat je na server v Číně.
Rozpadající se integrita
Výzkumníci z Bluebox říkají, že předtím, než publikovali výsledky tohoto zkoumání, snažili se předně kontaktovat společnost Xiaomi. Ta reagovala až poté, co byla tato zjištění publikována veřejně.
Mluvčí společnosti Xiaomi tvrdil, že společnost si je jistá tím, že žádné ze služeb a aplikací zmiňované výše nebyly na telefon předinstalovány a že je možné, že dané zařízení, které bylo testováno, bylo určitým způsobem někým upraveno, neboť Xiaomi v Číně neprodává svá zařízení přes obchodníky třetí strany. Xiaomi doporučilo, aby zákazníci kupovali firemní produkty pouze prostřednictvím oficiálního internetového obchodu.
Odborníci z BlueBox reagovali na tuto odpověď dvěma otázkami. Jak mohou uživatelé věřit značce Xiaomi, pokud výrobce nemůže zajistit integritu procesu od výroby až po finální prodej? A pokud výrobce posílá ze země zboží, které může být prodejcem či kýmkoliv v distribučním řetězci upraveno, jak může společnost věřit bezpečnosti svých produktů a pověsti své značky? Odborníci se také zeptali, proč společnost nereagovala na jejich připomínky hned, ale až po publikování výsledků.
Na tyto otázky společnost až po nějaké době reagovala tím, že již v té době bylo zahájeno vyšetřování této záležitosti.
Přeložil: Petr Matějček
