Xiaomi é acusada de incluir uma ferramenta de censura em seus celulares

* atualizado às 12h50: a Xiaomi publicou um comunicado em resposta às acusações.

Várias agências de notícias como a Reuters relataram sobre a publicação na quarta-feira (22) de um relatório do NCSC, o Conselho Nacional de Segurança Cibernética ligado ao Ministério da Defesa da Lituânia, sobre a segurança dos celulares 5G vendidos na Lituânia. O relatório completo está disponível em inglês no site oficial da NCSC.

O Ministério da Defesa da Lituânia publicou em sua conta oficial no Twitter uma declaração resumindo as conclusões do relatório do NCSC e, portanto, as acusações não só contra a Xiaomi, como também contra a Huawei. Obviamente, contatamos a filial europeia da Xiaomi que negou as acusações. Mas enquanto isso, vamos fazer um resumo deste polêmico relatório e das acusações feitas contra a Xiaomi.

Lithuanian @cert_lt investigated 5G cell phones made by ?? manufacturers Xiaomi, Huawei & OnePlus. The initial results of the investigation show some cyber and personal data security risks. Study was initiated to ensure the safe use of 5G mobile devices and software sold in ??. pic.twitter.com/ukw7InzQAk

— Lithuanian MOD (@Lithuanian_MoD) September 21, 2021

De onde vêm estas acusações contra Xiaomi?

O relatório, publicado na quarta-feira (22), conclui uma investigação sobre a cibersegurança dos celulares 5G chineses vendidos na Lituânia em 2020-2021.O estudo se concentrou em três fabricantes, Xiaomi, Huawei e OnePlus, com um modelo de celular 5G de cada uma, o Xiaomi Mi 10T 5G, o Huawei P40 5G e o OnePlus 8T 5G.

O relatório explica que o estudo se concentrou em quatro tipos principais de riscos de cibersegurança relacionados à segurança das aplicações instaladas padrão, vazamento de dados pessoais e restrições à liberdade de expressão.

"Uma análise de decomposição realizada em dispositivos fabricados pela Huawei, Xiaomi e OnePlus identificou 10 casos de aumento do risco de cibersegurança", diz o relatório. A NCSC conduziu seus testes em versões europeias de cada aparelho com a ROM global instalada para cada um deles.

Do que a Xiaomi é acusada?

O NCSC inicialmente critica a fabricante pelo fato de que alguns de seus aplicativos instalados por  padrão "enviam dados estatísticos sobre a atividade de certos apps instalados no dispositivo para os servidores do provedor chinês de serviços na nuvem Tencent, localizados em Singapura, Estados Unidos, Reino Unido, Holanda, Alemanha e Índia".

Mas a maior crítica do NCSC à Xiaomi é a implementação de uma lista de bloqueio de palavras-chave que podem ser usadas para censurar o conteúdo multimídia. Os aplicativos nativos da Xiaomi (Security, MiBrowser, Cleaner, MIUI Package Installer e Themes) baixam regularmente, segundo consta no relatório, um arquivo de configuração atualizado pela fabricante chamado "MiAdBlacklistConfig" de um servidor localizado em Cingapura.

Este arquivo supostamente contém uma lista de títulos, nomes e outras informações sobre vários grupos religiosos, políticos e movimentos sociais (449 itens foram identificados no arquivo MiAdBlacklistConfig durante a investigação). De acordo com a autoridade lituana de cibersegurança, isso permitiria que os aplicativos nativos da Xiaomi filtrassem conteúdo multimídia com base nas palavras-chave contidas na lista de restrição e o bloqueassem.

Entretanto, o relatório afirma que o recurso de filtragem de conteúdo foi desativado nos celulares Xiaomi vendidos na Lituânia e na UE em geral. Mas também afirma que a Xiaomi tem a capacidade de habilitar este recurso remotamente.

O relatório também destacou a quantidade de dados coletados pelo Mi Browser e pelo envio de um SMS criptografado do dispositivo do usuário ao se inscrever no serviço de nuvem da Xiaomi. Neste último caso, o órgão de segurança cibernética acredita que há um risco de vazamento de dados pessoais, pois não há como saber exatamente o que está sendo enviado na mensagem.

Estas acusações contra a Xiaomi são verdadeiras?

Este é um escândalo futuro (e novo) para a Xiaomi em torno de questões de privacidade e confidencialidade? Ou uma acusação política motivada por tensões entre dois países que têm se chocado desde este inverno sobre a questão de Taiwan? É difícil dizer quais são as intenções e as possíveis consequências das revelações feitas pelo NCSC, o Conselho Nacional de Segurança Cibernética da Lituânia.

Mas antes de nos lançarmos à especulação, vamos citar alguns fatos (porque eu já vejo os MiFans chegando). O NCSC é uma autoridade de segurança cibernética que opera sob o Ministério da Defesa da Lituânia. Portanto, não estamos falando de um relatório de uma agência privada com interesses privados, mas de uma entidade pública sob a autoridade de um Estado, a Lituânia, que faz parte da União Européia desde 2004.

O relatório do NCSC também reforça uma declaração do Conselho Europeu do dia 19 de julho, que pede, em nome da UE e de seus estados membros, que as autoridades chinesas tomem medidas contra os ataques cibernéticos da China contra a Europa.

Seja como for, é importante citar isso para destacar que o relatório da NCSC não é um simples panfleto escrito às pressas por uma empresa privada com um potencial conflito de interesses.

As áreas cinzentas do relatório do NCSC lituano

Deve-se ter em mente, no entanto, que este relatório chega num momento em que as tensões diplomáticas entre a Lituânia e a China estão no seu auge. Os dois países estão à frente da questão de Taiwan e da relação do Estado europeu com Taiwan, que a China considera parte integrante de seu território e se recusa a reconhecer seu status independente.

A China impôs sanções econômicas contra a Lituânia em agosto passado. Pessoalmente, acho difícil que a publicação do relatório do NCSC, pouco menos de um mês após as sanções econômicas da China, seja meramente coincidência.

Também vale a pena notar que a maioria das fabricantes de Android tem aplicações pré-instaladas em seus celulares, isto não é exclusivo da Xiaomi. E todos estes aplicativos analisam em alguma medida o que o usuário faz no smartphone. Por outro lado, deve-se lembrar que no ano passado a Xiaomi foi duramente criticada (e voltou atrás) por problemas de privacidade em seu Mi Browser.

O fato de o arquivo com palavras-chave proibidas ser chamado de "MiAdBlocklist" também pode levantar algumas dúvidas sobre a intenção por trás desta lista de restrições. A palavra "anúncio" (ad) pode muito bem se referir à publicidade e sabe-se que a Xiaomi oferece opções para bloquear os anúncios que exibe em sua própria interface.

• Leia também: Xiaomi: aprenda a desativar os anúncios na MIUI

Finalmente, vamos falar da Huawei. A fabricante é acusada de redirecionar seus usuários para lojas de apps de terceiros quando um aplicativo desejado não é encontrado na AppGallery, e que muitas dessas lojas contêm APKs maliciosos. Mas o relatório não parece levar em conta que a Huawei não tem escolha e que este estado de coisas é uma consequência do embargo dos EUA imposto à Huawei há quase 3 anos.

Xiaomi responde às acusações

Os dispositivos da Xiaomi não censuram a comunicação com ou de seus usuários. A Xiaomi nunca restringiu e nunca irá restringir ou impedir as atividades pessoais de seus usuários de smartphones, como pesquisar, ligar, navegar na Internet ou usar software de comunicação de terceiros. A Xiaomi respeita e protege totalmente os direitos legais de seus usuários. A Xiaomi está em conformidade com o Regulamento Geral de Proteção de Dados da União Europeia (GDPR).