Mobily Xiaomi posílají citlivá data do Číny. V Česku je používá Úřad vlády i policie

Helena Truchlá Lukáš Valášek Helena Truchlá, Lukáš Valášek
11. 5. 2020 5:30
Rumunský softwarový inženýr Gabriel Cîrlig před několika dny zjistil znepokojivou záležitost. Přišel na to, že jeho mobilní telefon čínské značky Xiaomi sleduje, co všechno na něm dělá, a získaná data pak posílá na servery, které vlastní další čínská společnost Alibaba. Mobily Xiaomi přitom používají v Česku i zaměstnanci Úřadu vlády, policisté nebo zaměstnanci nemocnic.
Mobil značky Xiaomi.
Mobil značky Xiaomi. | Foto: Framesira

"Když používáte přehrávač hudby Xiaomi, jejich aplikaci na čtení zpráv, prohlížeč nebo i jen aplikaci pro zobrazení domovské obrazovky, tak se to všechno zaznamená společně s vaším unikátním identifikátorem," vysvětlil Gabriel Cîrlig v rozhovoru pro deník Aktuálně.cz.

Pro test použil svůj model Redmi Note 8, problém se ale podle něj týká i řady dalších modelů čínského Xiaomi. "Záznamy zahrnují také informace o hudbě a videích, na která se díváte, titulky článků a historii z vašeho prohlížeče," varuje. Podobná data mohou podle něj zahrnovat uživatelská jména, adresy, a pokud jsou weby špatně naprogramované, tak i přístupová hesla. 

Podle serveru Forbes, kde Cîrlig své zjištění poprvé popsal, nepomohlo ani použití prohlížeče DuckDuckGo, který svým uživatelům slibuje maximální kontrolu nad tím, kdo může on-line uživatelské aktivity sledovat, nebo nastavení takzvaného anonymního režimu. 

Veškeré nasbírané údaje pak společnost "v balíčku" posílá na servery s čínskou internetovou adresou, které ale fyzicky sídlí v Singapuru a Rusku. Jde tak o další bezpečnostní incident čínského technologického giganta. Český Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) už předloni vydal varování proti firmě Huawei, u jejíchž výrobků je podle něj hrozba, že čínské komunistické vládě mohou sloužit ke špionáži.

Zjištěními analytiků ohledně Xiaomi se už NÚKIB také zabývá. "V tomto okamžiku nedisponujeme dostatečně ověřenými fakty, abychom k věci zaujímali jakékoli konkrétní stanovisko. Uvedenými informacemi se budeme dále zabývat a podle následných zjištění budeme přijímat adekvátní kroky," vysvětlil jeho mluvčí Radek Holý. 

V Česku telefony značky Xiaomi podle pátrání Aktuálně.cz používají jako služební například zaměstnanci Úřadu vlády. Padesát zařízení Xiaomi Mi A2 Lite za více než 200 tisíc korun nakoupil úřad jen několik měsíců poté, co NÚKIB vloni vydal varování proti firmě Huawei.

Premiér Andrej Babiš poté nařídil, aby pracovníci Úřadu vlády tyto telefony přestali používat. Později své vyjádření mírnil. "Bavíme se o pěti telefonech, takže to není žádná zásadní informace," řekl tehdy. 

Úřad vlády si nyní provedl analýzu a pracovníky, kteří mobily Xiaomi mají, prý o rizicích poučil. "Případné riziko související s používáním těchto zařízení je považováno za akceptovatelné. Krom toho je třeba zmínit, že mobilní telefony značky Xiaomi tvoří jen zlomek nasazených zařízení, přičemž žádné z nich nejsou používány zaměstnanci zastávajícími klíčová místa," uvedla mluvčí Úřadu vlády Jana Adamcová.

S tím ale Cîrlig nesouhlasí. "Jestli úřady nechtějí, aby aktivity jejich zaměstnanců sledovali cizí lidé, pak je podle mě riziko, aby používali zrovna telefony Xiaomi," je přesvědčený.

Kde data končí

Když NÚKIB před rokem varoval před Huawei, zdůvodnil nebezpečí především tím, že firma, podobně jako Xiaomi, primárně působí v "právním a politickém prostředí Čínské lidové republiky", kde "zákony vyžadují po soukromých společnostech působících v Číně mimo jiné součinnost při zpravodajských aktivitách". O rizicích tehdy hovořil dnes už odvolaný šéf úřadu Dušan Navrátil. Na jeho místo mezitím usedl bývalý šéf armádních speciálních sil Karel Řehka.

Zatímco u výrobků Huawei dodnes nejsou k dispozici jasné důkazy, že výrobky mají nějaká "zadní vrátka", kterými citlivá data unikají, v případě Xiaomi jsou doklady výrazně konkrétnější. Podle zjištění kyberexpertů jsou navíc problematická nejen samotná zařízení, vyráběná čínským Xiaomi, ale také webové prohlížeče, které firma nabízí k použití na telefonech jiných výrobců s operačním systém Android, takzvaný Mi Browser Pro a Mint Browser.

"Já telefon Redmi nemám, přesto se informace o webech, které jsem navštívil, posílaly na servery Xiaomi," vysvětluje pro Aktuálně.cz odborník na kybernetickou bezpečnost Andrew Tierney, kterého Forbes oslovil, aby zjištění Gabriela Cîrliga prověřil.

V tomto případě se jednalo o servery umístěné ve Spojených státech, a tedy mimo dosah zákonů na ochranu soukromí, které platí v Evropské unii. Snadněji se k nim proto dostanou tamní bezpečnostní složky. "Nemám tušení, co se s těmi daty děje nebo kdo k nim má přístup," varuje Tierney. Prohlížeče si z obchodu s aplikacemi pro operační systém Android stáhlo asi 15 milionů uživatelů. 

Xiaomi se mezitím podle vyjádření své globální produktové manažerky Abi Goové připravuje na možnost, že používání jejich výrobků zakáže americkým firmám vláda ve Washingtonu. K podobnému kroku se už z obav ze špionáže rozhodli Američané v případě Huawei, nařízení by mělo v plné síle platit od 15. května. 

Řídíme se doporučeními NÚKIB

Telefony, před kterými výzkumníci varují, mezitím nakupuje také česká policie. Jako "referentský telefon" například přímo policejní prezidium vloni pořídilo 246 mobilů Xiaomi Redmi 6A a dalších 40 Xiaomi Mi 8. Celkem za více než milion korun. Další telefony Xiaomi pak nakupují i jednotlivá krajská ředitelství, například středočeské. To je před rokem pořídilo v balíku s dalšími telefony Huawei.

"Obecně mohu uvést, že jsme v kontaktu s NÚKIB a vždy postupujeme podle jeho doporučení. Policie ČR využívá zařízení uvedené firmy v takových oblastech, kde by ani teoreticky nehrozilo potenciální riziko ohrožení a úniku utajovaných či citlivých informací," ujišťuje mluvčí policejního prezidia David Schön.

Telefony Xiaomi nakoupil také Český statistický úřad (ČSÚ) pro přípravu nadcházejícího sčítání lidu, které se uskuteční příští rok. Za celkem 262 kusů modelů Xiaomi Mi A2 Lite a Xiaomi Mi A3 dal za poslední rok a půl na 1,3 milionu korun. Vyhrály díky nejnižší ceně. Podle statistiků ovšem jimi budou protékat jen veřejně dostupná data, a tudíž žádné riziko nehrozí. 

"Tyto telefony používá okruh našich regionálních pracovníků a jsou užity výhradně pro podporu územní přípravy sčítání, kdy se pracuje pouze s již veřejně dostupnými daty například z katastru nemovitostí. Podstatné je, že námi vysoutěžené typy telefonů byly dle našich požadavků dodány pouze s holým operačním systémem Android a zvláštní aplikace potřebné pro práci našich pracovníků instaloval sám úřad," zdůvodňuje to mluvčí ČSÚ Jan Cieslar.

A stejné telefony nakupují i nemocnice, u nichž nedávno NÚKIB vydával další varování před kybernetickými útoky. "V současné době máme v nemocnici 25 těchto telefonních přístrojů. Používají je administrativní pracovníci. Telefonní přístroje musíme soutěžit, takže pokud vypíšeme soutěž a firma splní kritéria, nemůžeme nikoho vyřadit z důvodů, které popisujete," říká mluvčí brněnské Fakultní nemocnice u svaté Anny Dana Lipovská. Telefony Xiaomi jsou u řady uživatelů oblíbené i kvůli nízkým cenám. 

"Mohli bychom si to dovolit pouze v případě, že by například Úřad pro ochranu osobních údajů vydal nějaké doporučení týkající se bezpečnostního rizika. Prozatím žádné kroky podnikat nebudeme," dodává Lipovská. 

Sbíráme anonymně, ale necháme toho 

Společnost Xiaomi obvinění analytiků odmítá. "Ta tvrzení jsou nepravdivá. Soukromí a bezpečnost je naše hlavní priorita a striktně dodržujeme místní zákony a regulace týkající se soukromí uživatelských dat," uvádí.

Firma nepopírá, že se data na servery skutečně odesílají, tvrdí ale, že pečlivě zašifrovaná a anonymní, aby ochránila soukromí uživatelů, a že jejich sběru lze zabránit zapnutím anonymního módu. Cîrlig s tím ale nesouhlasí. "Říkají polopravdy, aby nemuseli přiznat, že data, která se posílají na servery, můžou být prokazatelně spojena s jednotlivými lidmi," vysvětluje Cîrlig. Sám z množství nečitelných dat rozluštil vlastní digitální stopu za několik vteřin.

Kdo je Gabriel Cîrlig a Andrew Tierney

Gabriel Cîrlig je softwarový vývojář původem z Rumunska, nyní pracuje jako výzkumník pro americkou společnost White Ops, která se věnuje kybernetické bezpečnosti. Andrew Tierney pak působí jako tester bezpečnostních aplikací, analytik a konzultant v oblasti počítačové bezpečnosti. V současnosti pracuje pro britskou společnost PenTestPartners. 

"Dokázal jsem, že veškerá takto sledovaná on-line aktivita se dá spojit s osobním MI účtem," tvrdí softwarový inženýr. Tato uživatelská identita je - podobně jako například konkurenční Apple ID - nezbytná k využívání služeb, které telefony poskytují. Kromě toho Cîrlig i Tierney zjistili, že Xiaomi sbírá také údaje, ze kterých jde určit konkrétní model telefonu a verzi operačního systému. "To všechno může být snadno propojeno s konkrétní lidskou bytostí," dodává Cîrlig. 

Podle Tierneyho může společnost, která je z hlediska podílu na trhu čtvrtým největším výrobcem chytrých telefonů na světě, takto získaná data využívat například pro přesnější cílení reklamy. To dělají i webové prohlížeče konkurentů, například Google Chrome, Mozilla Firefox nebo Apple Safari. 

"Ani jeden není perfektní, ale jsou mnohem transparentnější v tom, jaká data sbírají. Je pravda, že sledovací technologie Googlu jsou velmi účinné, a pravděpodobně už mají přístup ke stejným datům (jako Xiaomi, pozn. red.), jen je získávají jiným způsobem. Ale nenašel jsem důkaz toho, že by Chrome nebo Firefox někam posílaly třeba adresy webů, které jste si zobrazili. Apple je naopak dost dobrý v tom, že uživatelská data neshromažďuje," dodává kybernetický analytik. 

Xiaomi vychází špatně i ze srovnání výrobců mobilních zařízení. "Ostatní vás před sběrem dat požádají o výslovný souhlas a nabízí možnost si sbírání dat - která jsou navíc přísně anonymní - vypnout," vysvětluje Cîrlig. "Ale sbírat webové adresy bez vědomí uživatele a navíc v anonymním módu - to je nejhorší, co vůbec může být," doplňuje.

Xiaomi čtyři dny po zveřejnění zjištění analytiků přislíbilo, že příští aktualizace webového prohlížeče bude nově zahrnovat možnost uživatelům vyjádřit nesouhlas s tím, aby se jejich data odesílala na servery čínské společnosti. 

Na to už zareagovaly také české úřady. Podle mluvčí Úřadu vlády byly všechny služební chytré telefony aktualizovány na zmíněnou opravenou verzi. "Příslušní uživatelé těchto zařízení byli v této souvislosti náležitě poučeni," dodala mluvčí Jana Adamcová.

Video: Svět je zranitelný, žádná technologie není bezpečná, říká hacker

Nikdy jsem nechtěl být zlý hacker, přejít na temnou stranu. Když najdete nějakou zranitelnost systému, je to euforie, jako se dostat do Bílého domu. | Video: Daniela Drtinová
 

Právě se děje

před 13 minutami

Francouzská armáda zabila velitele Al-Káidy v severní Africe

Francouzská armáda zabila v Mali velitele teroristické organizace Al-Káida v islámském Maghrebu (AQIM) Abdal Malika Drúkdala. Oznámila to dnes ministryně obrany Florence Parlyová. Francie stojí od roku 2013 v čele mezinárodní koalice proti islamistům v této africké zemi.

"Dne 3. června zabily francouzské armádní síly s podporou místních partnerů během operace v severním Mali emíra Al-Káidy v islámském Maghrebu Abdal Malika Drúkdala a několik jeho nejbližších spolupracovníků," uvedla Parlyová na twitteru. Informaci následně potvrdila agentura AFP, podle níž byl Drúkdal zabit poblíž malijského města Tessalit u hranic s Alžírskem, kde se údajně dlouhodobě skrýval.

Drúkdal byl považován za jednoho z nejzkušenějších militantních džihádistů v severní Africe. V roce 2012 patřil k hlavním organizátorům převzetí severovýchodní části Mali pod kontrolu islamistů, po němž v zemi intervenovala francouzská armáda. Ta sice ve spolupráci s místními silami zatlačila džihádisty zpět, bezpečnostní situace v zemi na severozápadě Afriky je nicméně dlouhodobě nestabilní a islamistům se daří podnikat útoky nejen v severní, ale i centrální a jižní části státu.

Zdroj: ČTK
před 57 minutami

AstraZeneca začíná s výrobou vakcíny proti koronaviru, i když testování ještě neskončilo

Britská farmaceutická společnost AstraZeneca oznámila, že začíná s výrobou potenciální vakcíny proti nemoci covid-19. Ačkoli klinické testování očkovací látky není dosud u konce, a není tedy jasné, zda je vakcína funkční, chce firma mít k dispozici zásoby pro případ, že by testy dopadly dobře. Stanici BBC to dnes řekl šéf společnosti Pascal Soriot. AstraZeneca si zajistila kapacity pro dodávku celkem dvou miliard dávek testované vakcíny.

"Začínáme s výrobou vakcíny ihned - musíme ji mít připravenou ve chvíli, kdy budou výsledky (testování)," řekl Soriot. "Samozřejmě, že toto rozhodnutí s sebou nese riziko, ale jde o finanční riziko, pokud vakcína nebude funkční… Pak by všechen materiál, všechny vyrobené vakcíny přišly vniveč," dodal.

AstraZeneca vyvíjí vakcínu s pracovním názvem AZD1222 ve spolupráci s Oxfordskou univerzitou a v současnosti ji testuje na 10 000 dobrovolnících v Británii. Výsledky zkoušek by měla znát do srpna.

Firma se zavázala, že polovinu dávek očkovací látky, které se chystá vyrobit, poskytne chudším zemím. Ve čtvrtek oznámila, že uzavřela další dva kontrakty, přičemž jeden z nich ve výši 750 milionů dolarů s nadacemi filantropů Billa a Melindy Gatesových. Z celkem jedné miliardy dávek očkování určených pro chudší země by mělo být 400 milionů k dispozici ještě před koncem letošního roku.

Zdroj: ČTK
před 1 hodinou

Na Teplicku skončil první den senátních voleb, účast byla asi 12 procent

Volební místnosti na Teplicku, kde voliči vybírají nástupce Jaroslava Kubery (ODS), se ve 22:00 pro dnešek uzavřely. První kolo doplňovacích voleb bude pokračovat v sobotu od 8:00 do 14:00. Účast je zatím podle předběžného odhadu v průměru kolem 12 procent, řekla Pavla Doksanská z teplického magistrátu, která má na starosti organizační zabezpečení voleb.

Hlasování doprovází kvůli epidemiologické situaci zvýšená hygienická opatření. Lidé musí mít při vstupu do budov roušky, které si sejmou jen kvůli ověření totožnosti.

Nástupce Jaroslava Kubery, který nečekaně v lednu zemřel, lidé vybírají z devíti kandidátů. Pokud žádný z nich nezíská v prvním kole nadpoloviční většinu, o vítězi rozhodne za týden finále mezi dvěma nejúspěšnějšími uchazeči z kola prvního. Vítěz voleb se ujme mandátu v horní parlamentní komoře na zbytek Kuberova funkčního období, tedy do 13. října 2024. Mandát chtějí získat například teplický primátor Hynek Hanza (ODS), ústecký hejtman Oldřich Bubeníček (KSČM) nebo ředitel teplického gymnázia Zdeněk Bergman (za Senátor 21 s podporou TOP 09, Liberálně ekologické strany a Strany zelených).

Zdroj: ČTK
před 1 hodinou

Milion chvilek vpustí na úterní demonstraci jen 500 lidí

Spolek Milion chvilek vpustí na úterní demonstraci v centru Prahy pouze 500 lidí, přestože kvůli omezení počtu účastníků hromadných akcí chystá správní žalobu. Na videu na facebooku spolku to dnes večer oznámil jeho předseda Mikuláš Minář. Kvůli dodržení omezení Milion chvilek ruší také pochod k sídlu vlády, který měl být součástí demonstrace. Policie dnes odpoledne na twitteru oznámila, že nebude lidem bránit ve shromažďování kvůli mimořádným opatřením ministerstva zdravotnictví. Pokud policisté zjistí porušení hygienických podmínek, věc zadokumentují a předají hygienické stanici.

Kvůli riziku nákazy novým koronavirem jsou v Česku zakázané hromadné akce nad 500 osob. Spolek Milion chvilek je ale přesvědčen o tom, že příslušné nařízení ministerstva zdravotnictví se nevztahuje na právo shromažďovací. "Vláda tvrdí opak, proto podáme správní žalobu," uvedl dnes Minář. Podle názoru právníků spolku je omezení nezákonné a protiústavní.

Minář je také přesvědčen o tom, že omezení má za cíl zdiskreditovat protestní akce. "Vláda na nás šije 'boudu' a chce protesty jednou provždy u většiny národa zdiskreditovat. Nedejme jí teď tu záminku," uvedl. Organizátoři demonstrace na Staroměstském náměstí proto dodrží podmínku maximálního počtu účastníků. "Na úterní akci proto skutečně vpustíme pouze 500 osob," upozornil předseda spolku.

Ze stejného důvodu se neuskuteční ani plánovaný pochod ke Strakově akademii, který měl být součástí úterní demonstrace. "O to důležitější bude, aby se po celé republice uskutečnilo co nejvíc lokálních akcí, které se do 500 lidí pohodlně vejdou," řekl dnes Minář.

Zdroj: ČTK
Další zprávy