1. yle.fi
  2. Uutiset
  3. Matkapuhelin

Liettua paljasti Xiaomin kännyköiden sensuroivan käyttäjän hakuja ja kehotti ostoboikottiin – suomalaisasiantuntija pitää paljastusta vakavana

Liettuan viranomaisten mukaan Xiaomi-puhelimien sisään on rakennettu ohjelmisto, joka sensuroi Kiinalle epämiellyttäviä sanoja ja sloganeita. Suomessa Kyberturvallisuuskeskus selvittää asiaa.

Tietoturvaongelma koskee erityisesti Xiaomin Mi10T-puhelinta, mutta mahdollisesti myös muita malleja. Kuvassa Xiaomin puhelimia esillä belgradilaisessa kauppakeskuksessa. Kuva: Andrej Cukic / EPA

Liettuassa viranomaiset suosittelevat kuluttajia hankkiutumaan eroon kiinalaisista matkapuhelimista.

Liettuan Kyberturvallisuuskeskus on julkaissut aiheesta tuoreen raportin, jonka pohjalta maan puolustusministeriö on kehottanut jättämään kiinalaiset matkapuhelimet ostamatta.

Liettualaisia kehotetaan luopumaan myös jo omistamistaan kiinalaispuhelimista.

Raportin mukaan Xiaomi-puhelinvalmistajan uusien puhelimien sisään on rakennettu ohjelmisto, joka sensuroi Kiinan kannalta epämieluisia ilmauksia. Näitä ovat esimerkiksi "demokratialiike", "vapaa Tiibet" ja "kauan eläköön Taiwanin itsenäisyys".

Kaikkiaan ohjelmisto sensuroi noin 450 kiinankielisen termin käyttöä. Ominaisuus päivittyy koko ajan, raportti kertoo.

Suomessa asian selvittely vie ehkä päiviä

Suomessa Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus perehtyy parhaillaan Liettuan raporttiin. Analyysi vie todennäköisesti joitakin päiviä.

– Nyt analysoidaan ja verifioidaan, pitävätkö julkaisussa kuvatut asiat paikkansa. Raportti on liettuaksi, eli siinä voi vierähtää hetki. Sen jälkeen julkaisemme tarvittaessa asiasta tiedotteen, sanoo Kyberturvallisuuskeskuksen ylijohtaja Sauli Pahlman.

Kyberturvallisuuskeskus selvittää muun muassa sitä, onko Suomessa käytössä olevien puhelinten ohjelmistoversioissa samat sensurointiominaisuudet kuin Liettuassa.

– Todennäköisesti raportissa kuvatut tiedot pitävät paikkansa. Pitäisin yllättävänä, jos siinä olisi kovin virheellisiä tulkintoja, Pahlman toteaa.

Suomessa mahdollisista toimenpiteistä päättäisi liikenne- ja viestintäministeriö Kyberturvallisuuskeskuksen arvion pohjalta.

Xiaomin puhelimet olivat Telialla, DNA:lla ja Elisalla elokuussa 15. myydymmän listalla (siirryt toiseen palveluun). Xiaomi Redmi 9C NFC oli DNA:lla jopa neljänneksi myydyin.

Epäilyttäviä ominaisuuksia havaittu aiemminkin

Myös tietoturvayhtiö F-Securen tietoturvallisuusjohtaja Erka Koivunen pitää liettualaistietoja erittäin uskottavina.

Hän huomauttaa, ettei tämä ole ensimmäinen kerta, kun Kiinasta tulevien tuotteiden mukana on ylimääräisiä ominaisuuksia, jotka eivät ole ihan yhteensopivia länsimaisen sananvapaus- tai yksityisyydensuojakäsityksen kanssa.

Esimerkiksi lapsille on tarjottu (siirryt toiseen palveluun) älykelloja, joihin vanhemmat voivat soittaa, mutta niissä onkin ollut jatkuva telemetriakeruu Kiinaan valmistajan serverille. Sinne on mennyt paikkatietoja ja laitetta on voitu etäkäyttää (siirryt toiseen palveluun), sillä on voitu esimerkiksi ottaa kuvia sekä laittaa tallennus päälle.

F-Securen tietoturvajohtaja Erka Koivunen Kuva: Jyrki Ojala

– On huolestuttava ajatus, että laite, jonka olet laittanut lastasi suojaamaan voi kääntyä yhtäkkiä salakuuntelulaitteeksi.

Yhteinen tekijä on ollut, että valmistajat ovat olleet kiinalaisia ja myyjinä länsimaiset brändit. Myöhemmin on huomattu, että laitteissa on dokumentoimattomia ominaisuuksia.

Myös datan keruusta viitteitä

Liettuan Kyberturvallisuuskeskuksen raportin mukaan tietoturvariskejä on havaittu myös kiinalaisen matkapuhelinjätin Huawein P40 5G -puhelimissa.

Huawein Baltian edustaja kommentoi asiaa BNS-uutistoimistolle sanomalla, etteivät Huawein puhelimet lähetä käyttäjän dataa ulkopuolisille.

Matkapuhelinyhtiö Xiaomi ei ole vastannut Reutersin kommenttipyyntöön.

Xiaomia edustava viestintätoimisto välitti illalla Ylelle yhtiön virallisen kommentin. Xiaomin mukaan sen valmistamat laitteet eivät sensuroi käyttäjien lähettämää tai vastaanottamaa tietoa, eivätkä rajoita tai estä hakuja, puheluita, verkkoselaimen käyttöä tai muiden osapuolten kehittämien viestintäohjelmien käyttöä. Yritys sanoo noudattavansa EU:n tietosuoja-asetusta.

F-Securen Koivunen huomauttaa, että osa telemetriatiedon keruusta voi olla vilpittömin aikein tehtyä ja liittyä laitteen toiminnallisuuteen ja käyttövarmuuteen. Tällaista tietoa välittävät myös muun muassa Microsoftin Windows ja Applen puhelimet. Loppukäyttäjä voi estää tiedon keruun tiettyyn pisteeseen asti.

– Seuraava mielenkiintoinen kysymys on, mitä telemetriatietojen mukana menee ja voiko tiedonkeruun kytkeä pois päältä. Jos menee liikaa tietoa, kuulostaa siltä, että tuollainen laite kannattaa viedä kaatopaikalle.

Taustalla ehkä myös Liettuan ja Kiinan kiristyneet välit

Liettuan ja Kiinan suhteet ovat kiristyneet hiljattain. Elokuun loppupuolella maat kutsuivat suurlähettiläänsä pois asemapaikoiltaan Taiwanin asemasta kehkeytyneen kiistan takia.

Tuolloin Taiwan ilmoitti kutsuvansa Vilnan-toimistoaan Taiwanin edustustoksi. Euroopassa ja Yhdysvalloissa Taiwanin lähestystöt käyttävät normaalisti nimeä "Taipein lähetystö" välttääkseen viittaamasta koko saareen, jota Kiina pitää osanaan. Taipei on Taiwanin pääkaupunki.

Taiwanin edustustoa ei ole vielä avattu Vilnassa.

Suomeen tuskin yhtä jyrkkää suositusta

Kyberturvallisuuskeskus ei ota kantaa Liettuan kiinalaispuhelimia koskevaan mahdolliseen poliittiseen ulottuvuuteen.

Ylijohtaja Sauli Pahlman ei kuitenkaan usko, että Suomeen tulee yhtä jyrkkää suositusta kuin Liettuassa.

– Suomessa Kyberturvallisuuskeskus ei lähtisi noin kategorisesti suosittelemaan valmistusmaan tai valmistajan kotimaan perusteella tapahtuvaa [matkapuhelinten] välttämistä, hän sanoo.

Liettualaisraportin mukaan sensurointiominaisuus on kytketty pois päältä Xiaomin Mi 10T 5G -puhelimista EU-alueella. Liettuan viranomaisten mukaan se voidaan kuitenkin kytkeä etänä päälle milloin vain.

– Seuraamme mikä valmistajien vastaus tähän on. Sitten täytyy puntaroida asian vakavuutta. Tämänhetkisen tulkinnan perusteella kyse ei ole sinänsä siitä, että käyttäjän tietoja urkittaisiin, vaan että käyttäjän päätelaitteensa kautta näkemä sisältö voisi muuttua tai sensuroitua, Pahlman sanoo.

– Sekin on olennaista, mutta kuinka konkreettinen riski se on Suomessa laitetta käyttäville? En usko, että meillä nähdään samanlaista suositusta käsillä olevien tietojen perusteella.

Ongelmia voi olla muissakin malleissa

Voisiko mahdollinen suositus koskea Suomessa vain Xiaomin Mi 10T 5G -puhelimia?

– Meidän tehtävämme ei ole suositella välttämään jotain tiettyä mallia tai valmistajaa. Tarjoamme tekniset faktat ja näkemyksen riskeistä, Pahlman vastaa.

Hänen mukaansa vastaavia ongelmia voi olla myös muiden valmistajien malleissa.

– Emme ole muistaakseni koskaan suosittaneet, että älkää käyttäkö esimerkiksi jotain mallia jostain ohjelmistosta tai jotain selainta, hän sanoo.

F-Secure huomasi laitteissa maakohtaista vaihtelua

Koivunen kertoo, että heidän tutkijansa löysivät vuonna 2019 nipun haavoittuvuuksia (siirryt toiseen palveluun) Android-puhelimissa. Tutkittavina olivat Huawei Mate 9 Pro, Samsung Galaxy S9 ja Xiaomi Mi 9.

Vastoin yleistä oletusta saman merkin laitteet eivät olleet samanlaisia eri puolilla maailmaa. Laitevalmistajien esimerkiksi eri operaattoreille tai jälleenmyyjille tekemät räätälöinnit saattoivat alentaa laitteiden tietoturvaa merkittävästi riippuen siitä, millä alueella laite on tai missä laitteen SIM-kortti on aktivoitu.

– Herää kysymys, ovatko ne tarkoituksellisesti laitettuja ominaisuuksia. Erikoiserien laadunvarmennus ei ole niin hyvä kuin globaaleille markkinoille tulevien.

Esimerkiksii Samsungin puhelin tunnisti, minkä maan SIM-kortin puhelimeen laittaa ja alkoi käyttäytyä sen mukaan eri tavalla. Mahdollisuus saada laite jopa ulkopuolisen tahon hallintaan oli etenkin, jos siinä oli kiinalainen SiM-kortti.

Sitä ei tiedetä, onko tämä ollut esimerkiksi Kiinan valtion tai operaattorin toive vai esimerkiksi valmistajan hölmöilyä.

Samsung Galaxy S9:n kalorinmittausominaisuutta esiteltiin maailman matkapuhelinkongressissa Barcelonassa vuonna 2018. Kuva: Paco Freire / AOP

Yleensä tietoturvapuutteista ei pystytä suoraan sanomaan, ovatko ne tahattomia vai tahallisia. Esimerkiksi Suomessa joku myyjä voi haluta, että heidän laitteessaan on hieman erilainen ominaisuus kuin muilla.

– Alun perin kustomointi on tilattu käyttäjäkokemus edellä, mutta kun se tehdään pieleen, laite muuttuu aseeksi ja siitä tulee käyttäjälle vaarallinen.

Liettuassa todetussa Xiaomin puhelimien sensurointiominaisuudesta ei Koivusen mukaan kuitenkaan tarvitse spekuloida.

– Ei "Vapaa Tiibet" muutu vahingossa kielletyksi.

Luottamus valmistajiin koetuksella

Koivusen mukaan tästä näkyy, että geopolitiikka ja kansallinen turvallisuuspolitiikka alkavat vaikuttaa siihen, kenen valmistamiin laitteisiin voi luottaa. Toisaalta hän huomauttaa, että väitteitä tietoturvapuutteista voidaan käyttää myös mustamaalaamiseen, joten niiden tueksi kaipaisi aina todisteita.

Tavallisen ihmisen kannalta tietoturvaongelmat ovat huolestuttavia, koska näiden laitteiden kautta tehdään yhä enemmän kaikkea, ohjataan kodin valaistusta ja lämmitystä, laitetaan auto lämpenemään, seurataan, missä perhe kulkee. Niiden kautta kulkee kaikki viestintä ja niihin tallentuvat treenisuoritukset.

– Se edellyttää sokeaa luottamusta siihen, ettei laitteessa oleva ohjelmistokokonaisuus toimi salaa jonkun mun lukuun. Kun on epäilyjä tai varsinkin evidenssiä, minulla se välittömästi johtaa ostoboikottiin, Koivunen sanoo.

Itse hän ottaa uusista laitteista pois kaikki oheissovellukset, jotka eivät millään tavalla edistä laitteen todellista käytettävyyttä. Silloin hyökkäyspinta-ala pienenee.

Sensurointiominaisuudesta Koivunen ei ole kuullut muiden laitevalmistajien kuin Xiaomin osalta, lukuunottamatta Pohjois-Koreaa.

– Mutta se, yritetäänkö mahdollisimman paljon imeä tietoa käytöstä ja käyttäjästä, toimii sekä sekurokraattisissa että markkinavetoisissa yhteiskunnissa. Jos valmistaja ei ole sitoutunut euooppalaiseen yksityisyydensuojakonseptiin, on oletettavaa, että tietoja ainakin yritetään kerätä.

– Eurooppalaisena vähän harmittaa, ettei kuluttajaelektroniikassa ole kovin montaa varteenotettavaa vaihtoehtoja yhdysvaltalaisille, kiinalaisille ja eteläkorealaisille valmistajille, Koivunen toteaa.

Lisätty Xiaomin kanta juttuun 22.9. klo 18.56.

Juttua täydennetty lisäyksellä: "Taiwanin edustustoa ei ole vielä avattu Vilnassa." 27.9. klo 17.25.

Lisää aiheesta:

Liettuan ja Kiinan välille syntyi diplomaattinen kiista suhteista Taiwaniin

Kiinalaisilla kännykkämarkkinoilla menee lujaa – suosituin on iPhonen näköinen älypuhelin Xiaomi