सुरक्षा ऑडिट चीनी स्मार्टफोन मॉडल पर गंभीर चेतावनी देता है

एक बच्चा स्मार्टफोन का उपयोग करता है।
बड़े आकार में / अपरिचित ब्रांडेड स्मार्टफोन खरीदने और उनका उपयोग करने से पहले सुनिश्चित करें कि आप जानते हैं कि आप क्या कर रहे हैं – विशेष रूप से अंतरराष्ट्रीय मॉडल जो मूल रूप से आपके देश के लिए अभिप्रेत नहीं हैं।

लिथुआनियाई राष्ट्रीय साइबर सुरक्षा केंद्र (एनसीएससी) ने हाल ही में एक सुरक्षा प्रकाशित की मूल्यांकन तीन हालिया मॉडल चीनी निर्मित स्मार्टफोन- हुआवेई के पी 40 5 जी, श्याओमी के एमआई 10 टी 5 जी, और वनप्लस ‘ 8टी 5जी. पर्याप्त रूप से निर्धारित अमेरिकी खरीदार Amazon पर P40 5G और Walmart.com पर Mi 10T 5G पा सकते हैं – लेकिन हम NCSC के सुरक्षा ऑडिट के परिणामों को देखते हुए उन फोन को सीधे लिंक प्रदान नहीं करेंगे।

Xiaomi फोन में विशेष रूप से चीनी अधिकारियों को डेटा लीक करने के लिए और चीनी सरकार द्वारा संवेदनशील समझे जाने वाले विषयों से संबंधित मीडिया को सेंसर करने के लिए डिज़ाइन किए गए सॉफ़्टवेयर मॉड्यूल शामिल हैं। हुआवेई फोन मानक Google Play एप्लिकेशन स्टोर को तीसरे पक्ष के विकल्प के साथ बदल देता है जो एनसीएससी को स्केची, संभावित रूप से दुर्भावनापूर्ण रीपैकेजिंग के सामान्य अनुप्रयोगों को परेशान करने के लिए मिला है।

Huawei का P40 अभी भी Android 10 पर अटका हुआ है, जबकि Xiaomi 10 के साथ जहाज करता है, लेकिन इसे 11 में अपग्रेड किया जा सकता है। केवल OnePlus 8T को कारखाने से Android 11 के साथ स्थापित किया गया है।

हुआवेई का P40 अभी भी Android 10 पर अटका हुआ है, जबकि Xiaomi 10 के साथ जहाज करता है, लेकिन इसे 11 में अपग्रेड किया जा सकता है। केवल OnePlus 8T को कारखाने से Android 11 के साथ स्थापित किया गया है।

OnePlus 8T 5G – यकीनन, तीनों में से सबसे प्रसिद्ध और सबसे व्यापक रूप से विपणन किया जाने वाला फोन था – बिना किसी लाल झंडे के एनसीएससी की जांच से बचने वाला एकमात्र फोन था।

Xiaomi Mi 10T 5G

एनसीएससी ने पाया कि Xiaomi फोन पर सात डिफ़ॉल्ट सिस्टम ऐप नियमित रूप से डाउनलोड की गई JSON फ़ाइल का उपयोग करके उपयोगकर्ता से ब्लॉक करने के लिए मीडिया सामग्री की निगरानी कर सकते हैं।

एनसीएससी ने पाया कि Xiaomi फोन पर सात डिफ़ॉल्ट सिस्टम ऐप नियमित रूप से डाउनलोड की गई JSON फ़ाइल का उपयोग करके उपयोगकर्ता से ब्लॉक करने के लिए मीडिया सामग्री की निगरानी कर सकते हैं।

Xiaomi का Mi 10T 5G एक गैर-मानक ब्राउज़र के साथ आता है जिसे “Mi Browser” कहा जाता है। एनसीएससी को एमआई ब्राउज़र में दो घटक मिले जो उसे पसंद नहीं थे- Google Analytics, और एक कम परिचित मॉड्यूल जिसे सेंसर डेटा कहा जाता है।

एमआई ब्राउज़र में Google Analytics मॉड्यूल डिवाइस के ब्राउज़िंग और खोज इतिहास से पढ़ सकता है और फिर उस डेटा को अनिर्दिष्ट विश्लेषण और उपयोग के लिए ज़ियामी सर्वर पर भेज सकता है। Google Analytics मॉड्यूल फ़ोन के पहले सक्रियण के दौरान या किसी फ़ैक्टरी रीसेट के बाद डिफ़ॉल्ट रूप से स्वचालित रूप से सक्रिय हो जाता है।

एनसीएससी ने पाया कि सेंसर डेटा का मॉड्यूल एप्लिकेशन गतिविधि से संबंधित 61 मापदंडों पर आंकड़े एकत्र करता है, जिसमें ऐप सक्रियण का समय, उपयोग की जाने वाली भाषा, और आगे भी शामिल है। इन आंकड़ों को एन्क्रिप्ट किया जाता है और सिंगापुर में Xiaomi सर्वर पर भेजा जाता है, एक ऐसा देश जिसे एनसीएससी नोट यूरोपीय संघ के जीडीपीआर द्वारा कवर नहीं किया गया है और इससे जुड़ा हुआ है अत्यधिक डेटा संग्रह और उपयोगकर्ता गोपनीयता का दुरुपयोग।

एनसीएससी ने यह भी पाया कि डिफ़ॉल्ट Xiaomi क्लाउड सेवाओं के सक्रियण पर एन्क्रिप्टेड एसएमएस संदेश के माध्यम से उपयोगकर्ता का मोबाइल फोन नंबर सिंगापुर में सर्वर पर चुपचाप पंजीकृत है। मोबाइल फोन नंबर भेजा जाता है कि उपयोगकर्ता इसे नए क्लाउड खाते से जोड़ता है या नहीं, और एन्क्रिप्टेड एसएमएस उपयोगकर्ता को दिखाई नहीं देता है।

Mi 10T 5G पर कई Xiaomi सिस्टम एप्लिकेशन नियमित रूप से सिंगापुर में सर्वर से MiAdBlackListConfig नामक फ़ाइल डाउनलोड करते हैं। इस फाइल में, एनसीएससी को धार्मिक, राजनीतिक और सामाजिक समूहों की पहचान करने वाले 449 रिकॉर्ड मिले। इन Xiaomi अनुप्रयोगों में सॉफ़्टवेयर वर्ग मल्टीमीडिया का विश्लेषण करने के लिए MiAdBlackListConfig का उपयोग करते हैं जो डिवाइस पर प्रदर्शित हो सकते हैं और उस सामग्री को ब्लॉक कर सकते हैं यदि “अवांछनीय” कीवर्ड इससे जुड़े हैं।

हालांकि एनसीएससी ने पाया कि MiAdBlackListConfig के माध्यम से वास्तविक सामग्री फ़िल्टरिंग यूरोपीय संघ में पंजीकृत फोन पर अक्षम है, फिर भी फोन नियमित रूप से ब्लॉकलिस्ट को ही डाउनलोड करते हैं- और, एजेंसी का कहना है, किसी भी समय दूरस्थ रूप से पुन: सक्रिय किया जा सकता है।

हुआवेई P40 5G

NCSC ने पाया कि जो उपयोगकर्ता Huawei के AppGallery में एप्लिकेशन खोजते हैं, उन्हें अक्सर संभावित अविश्वसनीय तृतीय-पक्ष रिपॉजिटरी में पुनर्निर्देशित किया जाता है।

NCSC ने पाया कि जो उपयोगकर्ता Huawei के AppGallery में एप्लिकेशन खोजते हैं, उन्हें अक्सर संभावित अविश्वसनीय तृतीय-पक्ष रिपॉजिटरी में पुनर्निर्देशित किया जाता है।

हालाँकि NCSC को Huawei के P40 5G में स्पाइवेयर और कंटेंट-फ़िल्टरिंग मॉड्यूल के समान वर्ग नहीं मिले, जैसा कि Mi 10T 5G में था, फिर भी यह फोन के सॉफ्टवेयर इन्फ्रास्ट्रक्चर से खुश नहीं था – और अच्छे कारण के लिए।

P40 5G की सबसे स्पष्ट समस्याएं Google के Play Store को Huawei के अपने प्ले स्टोर से बदलने से उत्पन्न होती हैं ऐप गैलरी स्टोर, जिसे यह “आपके सभी पसंदीदा ऐप्स प्राप्त करने के लिए एक सुरक्षित स्थान” के रूप में बिल करता है। एनसीएससी ने पाया कि, यदि कोई उपयोगकर्ता किसी विशेष एप्लिकेशन के लिए ऐपगैलरी की खोज करता है, तो ऐपगैलरी में कोई मिलान नहीं मिलने पर उन्हें चुपचाप तीसरे पक्ष के ऐप स्टोर पर रीडायरेक्ट कर दिया जाएगा।

तृतीय-पक्ष वितरण प्लेटफ़ॉर्म जो NCSC को AppGallery से जुड़ा हुआ पाया गया है, उनमें Apkmonk, Apache, और Aptoide शामिल हैं, लेकिन इन्हीं तक सीमित नहीं हैं। एनसीएससी ने ऐपगैलरी और इसके लिंक किए गए तृतीय-पक्ष प्लेटफॉर्म के माध्यम से इंस्टॉल किए गए कई ऐप्स को स्कैन करने के लिए वायरसटोटल का उपयोग किया, और इसने तीन पर संभावित मैलवेयर की खोज की: ऑल इन वन सोशल मीडिया, सीएनसी मशीनिस्ट टैपिंग कैलकुलेटर, और “मैसेंजर ऐप, लाइट ऑल-इन-वन, लाइव फ्री चैट प्रो ऐप।”

हम निश्चित नहीं हैं कि एनसीएससी के विशिष्ट “मैलवेयर” निष्कर्षों के साथ कितना नमक लेना है क्योंकि एजेंसी ने उन तीन ऐप्स में से किसी को भी रिवर्स इंजीनियर नहीं किया है जो वायरसटॉटल को पसंद नहीं आया- और कम प्रसिद्ध ऐप्स पर एंटीवायरस झूठी सकारात्मक कुछ नियमितता के साथ होती है . हालाँकि, AppGallery से तृतीय-पक्ष ऐप स्टोर से स्पष्ट रूप से मौन लिंकिंग डिवाइस समझौता का एक वास्तविक जोखिम पेश करता है।

हालांकि एपकमॉन्क, एपीकेपपेयर, और एप्टोइड सभी उचित रूप से जाने-माने “वैकल्पिक स्टोर” हैं, लेकिन वे Google के अपने प्ले स्टोर की तुलना में कम अच्छी तरह से क्यूरेट किए गए हैं। उदाहरण के लिए, Aptoide अपना मुख्य भंडार दोनों प्रदान करता है – जो क्यूरेट, स्कैन किया गया है, और Play Store जितना सुरक्षित प्रतीत होता है। लेकिन Aptoide उन सभी लोगों के लिए एपीके रिपॉजिटरी की आसान सेल्फ-होस्टिंग की भी अनुमति देता है जो अपना खुद का अपलोड करना चाहते हैं-चाहे वे एक ऐसे उपयोगकर्ता हों जो एपीके का “बैक अप” करना चाहते हों, जो प्ले स्टोर से गायब हो सकते हैं, या एक डेवलपर जो अपने स्वयं के मूल सॉफ़्टवेयर को होस्ट कर रहा है।

Aptoide पर रिपोजिटरी निर्माण में आसानी- और इसके उपयोगकर्ता रिपॉजिटरी पर पायरेटेड और क्रैक किए गए ऐप्स का प्रचलन- कम जानकारी वाले उपयोगकर्ताओं द्वारा “खरीदारी” को एक गंभीर सुरक्षा जोखिम बनाता है, खासकर जब उन उपयोगकर्ताओं को यह एहसास नहीं हो सकता है कि उन्होंने सुरक्षा छोड़ दी है मुख्य धारा पहले स्थान पर है।

यहां तक ​​​​कि पायरेटेड सॉफ़्टवेयर की तलाश नहीं करने वाले उपयोगकर्ता भी अनजाने में वैध एप्लिकेशन के मैलवेयर-एडेड रीपैकेजिंग या कॉपीकैट संस्करणों पर ठोकर खा सकते हैं, जिसमें अपलोडर की अपनी कुंजी के साथ संशोधित या कॉपीकैट एप्लिकेशन पर फिर से हस्ताक्षर करके स्पष्ट “वैधता” जोड़ा जाता है।

निष्कर्ष

एनसीएससी के निष्कर्षों के आधार पर, वनप्लस फोन के साथ कोई समस्या नहीं लगती है – जो थोड़ा आश्चर्य की बात है, क्योंकि यह तीनों में से एकमात्र ब्रांड है जो गैर-चीनी प्रशासन से बार-बार नकारात्मक जांच के तहत नहीं आया है।

विशेष रूप से साहसी और/या Google-नफरत करने वाले उपभोक्ताओं को Huawei के P40 में रुचि हो सकती है, जो वास्तविक सीधे लगाए गए सेंसरशिप और/या स्पाइवेयर की तुलना में मैलवेयर-रोकथाम रेलिंग की कमी से अधिक पीड़ित लगता है।

अंत में, हम Xiaomi Mi 10T से बचने की दृढ़ता से सलाह देंगे- इसकी निष्क्रिय लेकिन नियमित रूप से अपडेट की गई ब्लॉकलिस्ट कार्यक्षमता हमें प्रत्यक्ष सत्तावादी निरीक्षण की चेतावनी के रूप में प्रभावित करती है जिसे हल्के में नहीं लिया जाना चाहिए।

(Visited 5 times, 1 visits today)

About The Author

You might be interested in

प्यू-अमेरिका-के-42-उपयोगकर्ता-मुख्य-रूप-से-मनोरंजन-के.jpg
0

LEAVE YOUR COMMENT