octubre 25, 2021

La auditoría de seguridad plantea serias advertencias sobre los modelos de teléfonos inteligentes chinos

Un niño usa un teléfono inteligente.
Acercarse / Asegúrese de saber en qué se está metiendo antes de comprar y usar teléfonos inteligentes de marcas desconocidas, especialmente modelos internacionales que no fueron originalmente diseñados para su país.

El Centro Nacional de Ciberseguridad de Lituania (NCSC) publicó recientemente una evaluación de seguridad de tres teléfonos inteligentes fabricados en China recientemente modelados: Huawei P40 5G, Xiaomi Mi 10T 5G y OnePlus 8T 5G. Los compradores estadounidenses suficientemente determinados pueden encontrar el P40 5G en Amazon y el Mi 10T 5G en Walmart.com, pero no proporcionaremos enlaces directos a esos teléfonos dados los resultados de la auditoría de seguridad del NCSC.

El teléfono Xiaomi incluye módulos de software diseñados específicamente para revelar datos a las autoridades chinas y censurar medios relacionados con temas que el gobierno chino considera sensibles. El teléfono Huawei reemplaza la tienda de aplicaciones estándar de Google Play con reemplazos de terceros que el NCSC encontró para albergar un reempaquetado inexacto y potencialmente malicioso de aplicaciones comunes.

El P40 de Huawei todavía está atascado en Android 10, mientras que Xiaomi viene con 10, pero se puede actualizar a 11. Solo OnePlus 8T se envía de fábrica con Android 11 instalado.

El P40 de Huawei todavía está atascado en Android 10, mientras que Xiaomi viene con 10, pero se puede actualizar a 11. Solo OnePlus 8T se envía de fábrica con Android 11 instalado.

El OnePlus 8T 5G, posiblemente el teléfono más conocido y comercializado de los tres, fue el único que escapó del control de NCSC sin que se levantaran banderas rojas.

Xiaomi Mi 10T 5G

El NCSC descubrió que siete aplicaciones del sistema predeterminadas en el teléfono Xiaomi pueden monitorear el contenido multimedia para el bloqueo del usuario, utilizando un archivo JSON descargado regularmente.

NCSC descubrió que siete aplicaciones del sistema predeterminadas en el teléfono Xiaomi pueden monitorear los medios para el bloqueo del usuario, utilizando un archivo JSON descargado regularmente.

El Mi 10T 5G de Xiaomi viene con un navegador no estándar llamado «Mi Browser». NCSC encontró dos componentes en Mi Browser que no les gustaron: Google Analytics y un módulo menos familiar llamado Sensor Data.

El módulo de Google Analytics en Mi Browser puede leer el historial de búsqueda y navegación del dispositivo y luego puede enviar dichos datos a los servidores Xiaomi para un análisis y uso no especificados. El módulo de Google Analytics se activa automáticamente de forma predeterminada durante la primera activación del teléfono o después de un posible restablecimiento de datos de fábrica.

El NCSC descubrió que el módulo de datos del sensor recopila estadísticas sobre 61 parámetros relacionados con la actividad de la aplicación, incluido el tiempo de activación de la aplicación, el idioma utilizado, etc. Estas estadísticas se cifran y se envían a los servidores de Xiaomi en Singapur, un país que según la NCSC no está cubierto por el RGPD de la UE y se ha relacionado con la recopilación excesiva de datos y el abuso de la privacidad del usuario.

El NCSC también descubrió que el número de teléfono móvil del usuario se registra silenciosamente en los servidores de Singapur a través de un mensaje SMS cifrado tras la activación de los servicios en la nube predeterminados de Xiaomi. El número de móvil se envía independientemente de si el usuario lo conecta a una nueva cuenta en la nube o no y el SMS cifrado no es visible para el usuario.

Muchas de las aplicaciones del sistema Xiaomi en el Mi 10T 5G descargan regularmente un archivo llamado MiAdBlackListConfig de servidores en Singapur. En este expediente, el NCSC encontró 449 documentos identificando grupos religiosos, políticos y sociales. Las clases de software en estas aplicaciones de Xiaomi utilizan MiAdBlackListConfig para analizar el contenido multimedia que se puede mostrar en el dispositivo y bloquear ese contenido si se asocian palabras clave «no deseadas».

Aunque el NCSC descubrió que el filtrado de contenido efectivo a través de MiAdBlackListConfig está deshabilitado en los teléfonos registrados en la Unión Europea, los teléfonos descargan regularmente la lista de bloqueo y, según la agencia, se pueden reactivar de forma remota en cualquier momento.

Huawei P40 5G

NCSC descubrió que los usuarios que buscan aplicaciones en la AppGallery de Huawei a menudo son redirigidos a repositorios de terceros potencialmente no confiables.

NCSC descubrió que los usuarios que buscan aplicaciones en la AppGallery de Huawei a menudo son redirigidos a repositorios de terceros potencialmente no confiables.

Si bien el NCSC no encontró la misma clase de módulos de filtrado de contenido y software espía en el P40 5G de Huawei que en el Mi 10T 5G, todavía no estaban contentos con la infraestructura de software del teléfono, y por una buena razón.

Los problemas más obvios del P40 5G provienen de reemplazar la Play Store de Google con la AppGallery Store de Huawei, a la que llama «un lugar más seguro para obtener todas sus aplicaciones favoritas». NCSC descubrió que si un usuario busca AppGallery para una aplicación en particular, será redirigido silenciosamente a tiendas de aplicaciones de terceros si no se encuentra ninguna coincidencia en la propia AppGallery.

Las plataformas de distribución de terceros que NCSC ha encontrado vinculadas a AppGallery incluyen, entre otras, Apkmonk, APKPure y Aptoide. NCSC usó VirusTotal para escanear varias aplicaciones instaladas a través de AppGallery y sus plataformas de terceros relacionadas y descubrió malware potencial en tres: Social Media All in One, CNC Machinist Tapping Calculator y «App Messenger, Light All-in. One, Free Live Chat Aplicación Pro «.

No estamos seguros de cuánto aumenta con los resultados de «malware» específicos de NCSC, ya que la agencia no ha descifrado ninguna de las tres aplicaciones que a VirusTotal no le gustó y los falsos positivos de antivirus en aplicaciones menos conocidas ocurren con cierta regularidad. Sin embargo, el vínculo aparentemente silencioso de AppGallery a las tiendas de aplicaciones de terceros presenta un riesgo real de que el dispositivo se vea comprometido.

Aunque Apkmonk, APKPure y Aptoide son «tiendas alternativas» razonablemente conocidas, están menos seleccionadas que Google Play Store. Aptoide, por ejemplo, ofrece su propio repositorio principal, que está curado, escaneado y parece ser tan seguro como Play Store. Pero Aptoide también permite el autohospedaje fácil de los repositorios de APK para cualquiera que quiera cargar los suyos propios, ya sea un usuario que quiera «hacer una copia de seguridad» de los APK que pueden desaparecer de Play Store o un desarrollador que aloja su propio software original.

La facilidad para crear repositorios en Aptoide y la prevalencia de aplicaciones pirateadas y pirateadas en los repositorios de sus usuarios hacen que las «compras» descuidadas por parte de usuarios menos informados sean un grave riesgo de seguridad, especialmente cuando esos usuarios pueden no darse cuenta de que han abandonado la seguridad de la corriente principal en el primer lugar.

Incluso los usuarios que no buscan software pirateado pueden encontrar inadvertidamente reempaquetados agregados por malware o versiones copiadas de aplicaciones legítimas, con la aparente «legitimidad» agregada al volver a firmar la aplicación modificada o copiada con la clave de carga.

Conclusiones

Según los resultados de NCSC, no parece haber ningún problema con el teléfono OnePlus, lo cual no es sorprendente, ya que es la única marca de las tres que no ha sido sometida a un escrutinio negativo repetido por parte de administraciones no chinas.

Los consumidores particularmente aventureros y / o que odian a Google podrían estar razonablemente interesados ​​en el P40 de Huawei, que parece plagado más por la falta de barreras antimalware que por la censura directamente impuesta y / o el software espía.

Finalmente, recomendamos encarecidamente evitar el Xiaomi Mi 10T: su funcionalidad de lista de bloqueo desactivada pero actualizada regularmente nos parece una advertencia de supervisión autoritaria directa que no debe ignorarse a la ligera.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *