立陶宛政府檢查中國製5G手機，發現華為與小米手機含有安全風險

立陶宛國防部的網路安全中心在本周發布了一項調查報告，該中心調查了3款中國製的5G手機，包括Huawei P40 5G、Xiaomi Mi 10T 5G與OnePlus 8T 5G，發現不管是華為或小米手機都含有安全風險，唯有OnePlus全身而退。

立陶宛說明，會選擇中國製手機展開調查是因為根據通用漏洞披露（CVE）資料庫，最近4年來上述3個品牌的手機都含有安全漏洞。包括小米手機上有9個與個人資料有關的安全漏洞；華為手機上有144個安全漏洞，絕大多數涉及對裝置功能的干涉；而OnePulse則只有一個漏洞，涉及某個程式可在裝置鎖住時傳送簡訊。

而這次立陶宛所調查的3款5G手機，都在2020年就進入立陶宛市場，並於華為手機中發現一個安全風險，於小米手機上發現3個安全風險，而OnePlus則未含有安全風險。

圖片來源_立陶宛國防部

Huawei P40 5G的安全風險存在於內建的AppGallery上，這是華為所提供的程式市集，立陶宛發現，AppGallery上含有許多已被惡意程式感染的行動程式。

至於在Xiaomi Mi 10T 5G上發現的安全風險之一為小米瀏覽器（Mi Browser），因為它不只使用Google Analytics網站流量統計服務，也使用了專門蒐集及傳送用戶活動的Chinese Sensor Data，Chinese Sensor Data最多可蒐集61種用戶活動，個人資訊蒐集太多，再加上立陶宛認為小米是把這些個人資訊傳送到缺乏資料保護規定的第三方國家，而且還存放在第三國家，而被視為是安全風險。

此外，Xiaomi Mi 10T 5G內建了一個可審查使用者所下載內容的黑名單機制，它列出了449個關鍵字，只要所下載內容含有黑名單上的關鍵字就會自動被封鎖，包括「自由西藏」、「民主運動」與「民主臺灣萬歲」等。雖然黑名單上全是中文，而且在立陶宛境內銷售的手機並未啟用該機制，但立陶宛擔心的是，這是一個可自遠端啟用的審查機制，且所列的黑名單隨時可更改成其它語言。

另一個小米手機上的安全風險為小米的雲端服務（Xiaomi Cloud），當使用者啟用該服務之後，系統會自動傳送一個加密的簡訊至伺服器端進行註冊，且該簡訊並未存放在裝置上。由於無法解讀簡訊內容，因而無法確定小米是否把個人資訊傳送至其它國家，而被立陶宛視為安全風險。

立陶宛近來與中國交惡，原因包括立陶宛支持反送中，反對中國對新疆的處置，還在今年接納臺灣於立陶宛設立代表處，使得中國在今年8月召回立陶宛大使，而立陶宛也在中國的要求下於9月召回駐華大使。