立陶宛-检查中国制5G手机，发现华为与小米手机含有安全风险

立陶宛国防部的网络安全中心在本周发布了一项调查报告，该中心调查了3款中国制的5G手机，包括Huawei P40 5G、Xiaomi Mi 10T 5G与OnePlus 8T 5G，发现不管是华为或小米手机都含有安全风险，唯有OnePlus全身而退。

立陶宛说明，会选择中国制手机展开调查是因为根据通用漏洞披露（CVE）数据库，最近4年来上述3个品牌的手机都含有安全漏洞。包括小米手机上有9个与个人资料有关的安全漏洞；华为手机上有144个安全漏洞，绝大多数涉及对装置功能的干涉；而OnePulse则只有一个漏洞，涉及某个程式可在装置锁住时传送简讯。

而这次立陶宛所调查的3款5G手机，都在2020年就进入立陶宛市场，并于华为手机中发现一个安全风险，于小米手机上发现3个安全风险，而OnePlus则未含有安全风险。

图片来源_立陶宛国防部

Huawei P40 5G的安全风险存在于内建的AppGallery上，这是华为所提供的程式市集，立陶宛发现，AppGallery上含有许多已被恶意程式感染的行动程式。

至于在Xiaomi Mi 10T 5G上发现的安全风险之一为小米浏览器（Mi Browser），因为它不只使用Google Analytics网站流量统计服务，也使用了专门搜集及传送用户活动的Chinese Sensor Data，Chinese Sensor Data最多可搜集61种用户活动，个人资讯搜集太多，再加上立陶宛认为小米是把这些个人资讯传送到缺乏资料保护规定的第三方国家，而且还存放在第三国家，而被视为是安全风险。

此外，Xiaomi Mi 10T 5G内建了一个可审查使用者所下载内容的黑名单机制，它列出了449个关键字，只要所下载内容含有黑名单上的关键字就会自动被封锁，包括“自由西藏”、“民主运动”与“民主台湾万岁”等。虽然黑名单上全是中文，而且在立陶宛境内销售的手机并未启用该机制，但立陶宛担心的是，这是一个可自远端启用的审查机制，且所列的黑名单随时可更改成其它语言。

另一个小米手机上的安全风险为小米的云端服务（Xiaomi Cloud），当使用者启用该服务之后，系统会自动传送一个加密的简讯至服务器端进行注册，且该简讯并未存放在装置上。由于无法解读简讯内容，因而无法确定小米是否把个人资讯传送至其它国家，而被立陶宛视为安全风险。

立陶宛近来与中国交恶，原因包括立陶宛支持反送中，反对中国对-的处置，还在今年接纳台湾于立陶宛设立代表处，使得中国在今年8月召回立陶宛大使，而立陶宛也在中国的要求下于9月召回驻华大使。