Xiaomi é acusada de incluir uma ferramenta de censura em seus celulares

* atualizado às 12h50: a Xiaomi publicou um comunicado em resposta às acusações.

Várias agências de notícias como a Reuters relataram sobre a publicação na quarta-feira (22) de um relatório do NCSC, o Conselho Nacional de Segurança Cibernética ligado ao Ministério da Defesa da Lituânia, sobre a segurança dos celulares 5G vendidos na Lituânia. O relatório completo está disponível em inglês no site oficial da NCSC.

O Ministério da Defesa da Lituânia publicou em sua conta oficial no Twitter uma declaração resumindo as conclusões do relatório do NCSC e, portanto, as acusações não só contra a Xiaomi, como também contra a Huawei. Obviamente, contatamos a filial europeia da Xiaomi que negou as acusações. Mas enquanto isso, vamos fazer um resumo deste polêmico relatório e das acusações feitas contra a Xiaomi.

Lithuanian @cert_lt investigated 5G cell phones made by 🇨🇳 manufacturers Xiaomi, Huawei & OnePlus. The initial results of the investigation show some cyber and personal data security risks. Study was initiated to ensure the safe use of 5G mobile devices and software sold in 🇱🇹. pic.twitter.com/ukw7InzQAk

— Lithuanian MOD (@Lithuanian_MoD) September 21, 2021

De onde vêm estas acusações contra Xiaomi?

O relatório, publicado na quarta-feira (22), conclui uma investigação sobre a cibersegurança dos celulares 5G chineses vendidos na Lituânia em 2020-2021.O estudo se concentrou em três fabricantes, Xiaomi, Huawei e OnePlus, com um modelo de celular 5G de cada uma, o Xiaomi Mi 10T 5G, o Huawei P40 5G e o OnePlus 8T 5G.

O relatório explica que o estudo se concentrou em quatro tipos principais de riscos de cibersegurança relacionados à segurança das aplicações instaladas padrão, vazamento de dados pessoais e restrições à liberdade de expressão.

"Uma análise de decomposição realizada em dispositivos fabricados pela Huawei, Xiaomi e OnePlus identificou 10 casos de aumento do risco de cibersegurança", diz o relatório. A NCSC conduziu seus testes em versões europeias de cada aparelho com a ROM global instalada para cada um deles.

Do que a Xiaomi é acusada?

O NCSC inicialmente critica a fabricante pelo fato de que alguns de seus aplicativos instalados por  padrão "enviam dados estatísticos sobre a atividade de certos apps instalados no dispositivo para os servidores do provedor chinês de serviços na nuvem Tencent, localizados em Singapura, Estados Unidos, Reino Unido, Holanda, Alemanha e Índia".

Mas a maior crítica do NCSC à Xiaomi é a implementação de uma lista de bloqueio de palavras-chave que podem ser usadas para censurar o conteúdo multimídia. Os aplicativos nativos da Xiaomi (Security, MiBrowser, Cleaner, MIUI Package Installer e Themes) baixam regularmente, segundo consta no relatório, um arquivo de configuração atualizado pela fabricante chamado "MiAdBlacklistConfig" de um servidor localizado em Cingapura.

Este arquivo supostamente contém uma lista de títulos, nomes e outras informações sobre vários grupos religiosos, políticos e movimentos sociais (449 itens foram identificados no arquivo MiAdBlacklistConfig durante a investigação). De acordo com a autoridade lituana de cibersegurança, isso permitiria que os aplicativos nativos da Xiaomi filtrassem conteúdo multimídia com base nas palavras-chave contidas na lista de restrição e o bloqueassem.

Entretanto, o relatório afirma que o recurso de filtragem de conteúdo foi desativado nos celulares Xiaomi vendidos na Lituânia e na UE em geral. Mas também afirma que a Xiaomi tem a capacidade de habilitar este recurso remotamente.

O relatório também destacou a quantidade de dados coletados pelo Mi Browser e pelo envio de um SMS criptografado do dispositivo do usuário ao se inscrever no serviço de nuvem da Xiaomi. Neste último caso, o órgão de segurança cibernética acredita que há um risco de vazamento de dados pessoais, pois não há como saber exatamente o que está sendo enviado na mensagem.

Estas acusações contra a Xiaomi são verdadeiras?

Este é um escândalo futuro (e novo) para a Xiaomi em torno de questões de privacidade e confidencialidade? Ou uma acusação política motivada por tensões entre dois países que têm se chocado desde este inverno sobre a questão de Taiwan? É difícil dizer quais são as intenções e as possíveis consequências das revelações feitas pelo NCSC, o Conselho Nacional de Segurança Cibernética da Lituânia.

Mas antes de nos lançarmos à especulação, vamos citar alguns fatos (porque eu já vejo os MiFans chegando). O NCSC é uma autoridade de segurança cibernética que opera sob o Ministério da Defesa da Lituânia. Portanto, não estamos falando de um relatório de uma agência privada com interesses privados, mas de uma entidade pública sob a autoridade de um Estado, a Lituânia, que faz parte da União Européia desde 2004.

O relatório do NCSC também reforça uma declaração do Conselho Europeu do dia 19 de julho, que pede, em nome da UE e de seus estados membros, que as autoridades chinesas tomem medidas contra os ataques cibernéticos da China contra a Europa.

Seja como for, é importante citar isso para destacar que o relatório da NCSC não é um simples panfleto escrito às pressas por uma empresa privada com um potencial conflito de interesses.

As áreas cinzentas do relatório do NCSC lituano

Deve-se ter em mente, no entanto, que este relatório chega num momento em que as tensões diplomáticas entre a Lituânia e a China estão no seu auge. Os dois países estão à frente da questão de Taiwan e da relação do Estado europeu com Taiwan, que a China considera parte integrante de seu território e se recusa a reconhecer seu status independente.

A China impôs sanções econômicas contra a Lituânia em agosto passado. Pessoalmente, acho difícil que a publicação do relatório do NCSC, pouco menos de um mês após as sanções econômicas da China, seja meramente coincidência.

Também vale a pena notar que a maioria das fabricantes de Android tem aplicações pré-instaladas em seus celulares, isto não é exclusivo da Xiaomi. E todos estes aplicativos analisam em alguma medida o que o usuário faz no smartphone. Por outro lado, deve-se lembrar que no ano passado a Xiaomi foi duramente criticada (e voltou atrás) por problemas de privacidade em seu Mi Browser.

O fato de o arquivo com palavras-chave proibidas ser chamado de "MiAdBlocklist" também pode levantar algumas dúvidas sobre a intenção por trás desta lista de restrições. A palavra "anúncio" (ad) pode muito bem se referir à publicidade e sabe-se que a Xiaomi oferece opções para bloquear os anúncios que exibe em sua própria interface.

• Leia também: Xiaomi: aprenda a desativar os anúncios na MIUI

Finalmente, vamos falar da Huawei. A fabricante é acusada de redirecionar seus usuários para lojas de apps de terceiros quando um aplicativo desejado não é encontrado na AppGallery, e que muitas dessas lojas contêm APKs maliciosos. Mas o relatório não parece levar em conta que a Huawei não tem escolha e que este estado de coisas é uma consequência do embargo dos EUA imposto à Huawei há quase 3 anos.

Xiaomi responde às acusações

Os dispositivos da Xiaomi não censuram a comunicação com ou de seus usuários. A Xiaomi nunca restringiu e nunca irá restringir ou impedir as atividades pessoais de seus usuários de smartphones, como pesquisar, ligar, navegar na Internet ou usar software de comunicação de terceiros. A Xiaomi respeita e protege totalmente os direitos legais de seus usuários. A Xiaomi está em conformidade com o Regulamento Geral de Proteção de Dados da União Europeia (GDPR).