browser icon
Você está usando uma versão insegura do seu navegador web. Por favor atualize seu navegado!
Usando um navegador desatualizado torna seu computador inseguro. Para mais segurança, velocidade, uma experiência mais agradável, atualize o seu navegador hoje ou tente um novo navegador.

Celulares Xiaomi ameaçam segurança do usuário de forma mais grave do que parece

Posted by on 08/10/2021

A Lituânia aconselha seus cidadãos a evitarem alguns aparelhos chineses, os mais vendidos na Europa, e a Alemanha começou a investigá-los. Mas o desafio vale para todo o ecossistema Android. O Ministério de Defesa da Lituânia publicou no final de setembro um relatório recomendando aos seus cidadãos que deixem de usar alguns tipos de celulares chineses. Dias depois, sem especificar os motivos, a Alemanha abriu uma investigação sobre os celulares Xiaomi, que no último trimestre se tornou pela primeira vez a marca mais vendida na Europa. As duas decisões foram noticiadas com destaque e puseram a tecnologia chinesa novamente na mira. 

Recomendação de abandonar celulares Xiaomi revela ameaça mais grave do que parece

Fonte: El Pais

Mas o desafio vai muito além: a ameaça afeta todo o ecossistema Android e tem a ver com os aplicativos que vêm pré-instalados em qualquer celular e cujas atualizações, que ninguém controla nem vigia, podem representar um risco de segurança para os usuários.

A denúncia que mais chamou a atenção do relatório lituano foi uma lista de 449 palavras em caracteres chineses que o dispositivo podia encontrar e bloquear. Muitas dessas palavras tinham conotações políticas sobre a China: “Tibete  livre”, “Movimento democrático 89″ [revolta popular da Praça Tiannanmem], ”Viva Taiwan livre” ou sobre os uigures.

Mas também havia termos como nazistas e nomes de grupos terroristas islâmicos. Dias depois, em 27 de setembro, o ministério lituano de Defesa publicou um apêndice com novas palavras, algumas já diretamente em inglês ou espanhol. Nessa lista, a maioria está relacionada a sexo: pornôpornôspornanal impalerhandjobunderagehookerhot vídeo, clitórisvaginasfucker – mas também Dalai Lamamarxista extremismo.

Na lista de palavras em chinês aparecem também nomes como o do extinto grupo separatista basco ETA, da organização esquerdista chilena Frente Patriótica Manuel Rodríguez e do artista dissidente chinês Ai Weiwei. Ao todo, são 1.376 termos. A lista no fundo é pouco sofisticada, mas serviria para encontrar alguém que busca informações politicamente suspeitas sobre a China ou que consome pornografia. O primeiro tipo claramente pode interessar a uma empresa chinesa que precisa seguir diretrizes de seu governo comunista. Já a restrição à pornografia pode ter conotações políticas ou servir para possíveis chantagens ao usuário do aparelho.

O relatório lituano cita poucas provas, mas aponta que esta lista encontrada em dispositivos Xiaomi aparentemente serve para filtrar conteúdo: “Acredita-se que esta função permita a um aparelho Xiaomi realizar uma análise do conteúdo multimídia que entra no telefone da pessoa [usuário] alvo, e depois procurar palavras-chaves baseadas nesta lista enviada para o servidor”, diz o relatório. Uma vez feito isto, o dispositivo pode filtrar conteúdos para que o usuário não os veja. A Lituânia admite que essa função foi “desativada” na União Europeia.

A magnitude real do problema

Há, entretanto, uma frase no relatório original que descreve melhor a real magnitude do problema: “É importante salientar que esta função é ativada remotamente pelo fabricante” do aparelho. Os aplicativos pré-instalados em celulares Android constituem um dos campos mais opacos do setor, com provas científicas conclusivas a respeito. Os pesquisadores que analisaram este fenômeno no Android não veem nada de surpreendente que um fabricante chinês possa ativar um programa à distância ou modificar sua função graças a uma atualização, sem que o usuário saiba e/ou perceba. Na verdade, seria facílimo fazer isso.

“Em muitos celulares há um software pré-instalado que foi desenvolvido por várias organizações com a capacidade de baixar algo de forma silenciosa, desde espionagem ao usuário a trojans”, diz Narseo Vallina, pesquisador principal da Imdea Networks e coautor de uma investigação pioneira e premiada sobre aplicativos pré-instalados em celulares Android. “Se algum agente da cadeia de suprimentos for comprometido, ou facilitar o acesso a agentes maliciosos, nossos aparelhos poderiam ser afetados”, acrescenta.

O relatório lituano, com sua lista bizarra, pode chamar a atenção em meio à selva dos programas pré-instalados, onde diversas empresas do setor põem a mão, sem que ninguém tenha a responsabilidade individual. Tampouco há uma polícia dos smartphones para vigiá-los. O fabricante, muitas vezes, cede ou permite a instalação de aplicativos que em princípio fazem algo necessário ou razoável, mas que ninguém controla, vigia nem verifica na origem nem em suas futuras atualizações.

O celular que compramos pode acabar colhendo dados ou fazendo coisas diferentes meses depois da aquisição, como demonstra a mudança na lista de palavras não permitidas da Xiaomi. Por exemplo, o celular de uma pessoa, chinesa ou estrangeira, que use seu celular Xiaomi para se posicionar publicamente a favor dos uigures ou da independência do Tibete pode de repente começar a enviar dados ou baixar informações sem que o usuário saiba.

“O conceito de ‘instalado de fábrica’ não existe a partir do momento em que as atualizações ocorrem continuamente, desde o momento em que você liga o telefone pela primeira vez”, diz Juan Tapiador, catedrático da Universidade Carlos III de Madri e coautor da investigação com Vallina. “É possível também segmentar os usuários e fazer instalações particulares para grupos deles. Por exemplo, por modelo de aparelho ou por localização geográfica, o que complica ainda mais poder falar sobre o que vem instalado de fábrica num mesmo modelo de aparelho.”

Atualizamos quando queremos

Tapiador e Vallina publicaram neste ano um novo artigo sobre a facilidade com que aplicativos pré-instalados que são básicos para o funcionamento do celular podem ser atualizados, tendo sua função inicial alterada ou adaptada para um novo objetivo: “Quando fizemos o trabalho com os aplicativos pré-instalados, não sabíamos quais estavam lá desde o momento em que o usuário comprou o telefone e quais aterrissaram mais tarde”, observa Tapiador. “No caso das atualizações, são aplicativos do sistema que, por sua própria natureza, têm privilégios muito elevados. A maioria desses privilégios é necessária para que possam funcionar bem, mas também é fácil que haja abusos. Não é algo que se possa resolver simplesmente em nível técnico; uma maior transparência no processo ajudaria a aumentar a confiança e facilitaria a identificação dos abusos”, acrescenta.

Isto não ocorre só em celulares chineses, mas praticamente com todos os fabricantes. “É difícil saber quão difundido está em geral”, diz Juan Caballero, pesquisador do Imdea Software e coautor de um artigo sobre mercados de aplicativos citado no relatório lituano. “Encontramos muitos problemas de privacidade, mas é difícil generalizar para grandes fabricantes de celulares, como Huawei Xiaomi. Mas há empresas menores que tiveram muitos problemas. Viu-se claramente que É algo sistêmico”, acrescenta.

Um aparelho barato pode ter mais programa pré-instalados porque os fabricantes esperam continuar ganhando dinheiro vendendo os dados de uso dos seus clientes. “Muitos usuários acham que compram o telefone e pronto, mas não é assim”, diz Caballero. “A relação vai além. Para uma parte dos fabricantes, o negócio continua com a utilização e venda dos seus dados, com acordos com terceiros, normalmente no âmbito da publicidade. Os fornecedores chineses e indianos atacam o mercado de baixíssimo custo, com margens minúsculas. Isso afeta sobretudo celulares desses países com aparelhos mais baratos. Não é a única razão, mas é fundamental”, acrescenta.

Por que essa falha na segurança não é um escândalo enorme ?

Por que todo este suposto mercado de dados não é mais conhecido e transparente? É uma pergunta complexa. Todos os usuários no fundo precisam do seu Android, sem ter que pensar a todo o momento que podem estar sendo vigiados ou espionados. É o grande gargalo da privacidade: em princípio, poucos têm algo a temer, diz-se. Até que, um dia, “alguém” pode querer saber detalhes da sua vida porque você cruzou alguma desconhecida linha vermelha, ou passou a ocupar um cargo público importante.

Há muitos aspectos sociais, regulatórios e econômicos que podem influir no impacto relativo que este tipo de descoberta pode ter”, diz Vallina. “Por um lado, por exemplo, a forma como o Regulamento Geral de Proteção de Dados define as responsabilidades de cada país no cumprimento da norma deposita essa responsabilidade em países com interesses econômicos contrapostos”, diz.

Embora em nível regulatório o assunto desperte logicamente mais interesse, continua sendo um panorama muito complexo, repleto de interesses contrapostos. “Se falarmos de agentes reguladores é um pouco diferente. Estes sim levam a sério, mas há muitos fornecedores, com muitos modelos e com acordos com entidades terceiras que é de onde vêm muitos problemas”, diz Caballero.

No relatório lituano são citados também problemas observados na loja de aplicativos da Huawei. Quando um usuário não encontra o aplicativo que busca, é mandado a outro mercado, quase sem controle algum. “A Huawei te redireciona para terceiros quando não tem um determinado aplicativo na sua loja. Em nosso último artigo mostramos que nesses mercados de terceiros a probabilidade de você baixar um malware (programa malicioso) ou um programa que potencialmente não quer (PUP, na sigla em inglês) é cinco vezes mais alta do que se baixar da Play Store. Com essa política, a Huawei rebaixa sua segurança e muitos usuários não têm consciência disso”, acrescenta.

Resposta da Xiaomi

Após a publicação deste artigo, a Xiaomi escreveu ao EL PAÍS para esclarecer que a empresa “cumpre integralmente todos os requisitos do Regulamento de Proteção de Dados” da União Europeia e que seus dispositivos “não restringem ou filtram as comunicações de ou para nossos usuários “. Este jornal perguntou à Xiaomi se eles confirmavam que essas afirmações se estendiam totalmente ao software de terceiros que inclui seus dispositivos de fábrica. Outra porta-voz da empresa na Espanha respondeu que eles não tinham nada a dizer sobre o assunto, assim como o resto do setor. O conteúdo deste artigo sobre a responsabilidade final dos aplicativos pré-instalados no ecossistema Android, portanto, permanece obscuro.


“Precisamos do seu apoio para continuar nosso trabalho baseado em pesquisa independente e investigativa sobre as ameaças do Estado [Deep State] Profundo, et caterva, que a humanidade enfrenta. Sua contribuição, por menor que seja, nos ajuda a nos mantermos à tona. Considere apoiar o nosso trabalho. Disponibilizamos o mecanismo Pay Pal, nossa conta na Caixa Econômica Federal  AGENCIA: 1803 – CONTA: 000780744759-2, Operação 1288, pelo PIX-CPF 211.365.990-53 (Caixa)”. para remessas do exterior via IBAN código: BR23 0036 0305 0180 3780 7447 592P 1


“O ser humano vivência a si mesmo, seus pensamentos como algo separado do resto do universo numa espécie de ilusão de ótica de sua consciência. E essa ilusão é uma espécie de prisão que nos restringe a nossos desejos pessoais,  conceitos e ao afeto por pessoas mais próximas. Nossa principal tarefa é a de nos livrarmos dessa prisão, ampliando o nosso círculo de compaixão, para que ele abranja todos os seres vivos e toda a natureza (e o universo) em sua beleza. Ninguém conseguirá alcançar completamente esse objetivo, mas lutar pela sua realização já é por si só parte de nossa liberação e o alicerce de nossa segurança interior.” –   Albert Einstein


Saiba mais, leitura adicional:

Permitida a reprodução, desde que mantido no formato original e mencione as fontes.

One Response to Celulares Xiaomi ameaçam segurança do usuário de forma mais grave do que parece

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.