Telefoons van het Chinese merk Xiaomi bieden geweldige specificaties voor een schappelijke prijs. De keerzijde: de apparaten sturen op grote schaal privégegevens door naar servers in China, waar de Chinese overheid mee kan lezen. Litouwen roept op om de apparaten weg te gooien; in Nederland blijft het vooralsnog stil.
Dit stuk in 1 minuut
Smartphones van het Chinese merk Xiaomi delen massaal data van gebruikers met de servers van het bedrijf; ook de data van Europese gebruikers. De Chinese overheid kan daar toegang toe hebben.
Litouwse onderzoekers vonden ook censuursoftware in een Xiaomi-model. Die is uitgeschakeld voor Europa, maar kan op afstand worden ingeschakeld. Nederlandse cybersecurity-experts pleiten voor grondig onderzoek naar deze telefoons, maar vrezen dat Nederland daarvan afziet – vanwege onze economische afhankelijkheid van China.
- Hoe hebben we onderzoek gedaan?
We lazen dat de Litouwse overheid haar burgers waarschuwde voor Xiaomi-telefoons en werden nieuwsgierig. Worden die modellen ook in Nederland verkocht? En waarom klinkt zo’n waarschuwing hier niet? We spraken uitgebreid met cybersecurity-experts in binnen- en buitenland en met een Europarlementariër die zich specialiseert in deze problematiek en verdiepten ons in de artikelen en rapporten over de kwestie.
- Tech-bedrijven uit de VS tappen onze data toch ook af, waarom is dit anders?
In China zijn bedrijven wettelijk verplicht om gebruikersdata desgevraagd te delen met de overheid. Ook kent China een zwakkere scheiding tussen private en overheidspartijen. Binnen bedrijven is bijvoorbeeld vaak een partijcomité aanwezig, om te zorgen dat bedrijven de lijn van de Chinese Communistische Partij uitvoeren.
Ook in de Verenigde Staten kan de overheid bedrijven dwingen om data te delen. Maar daar gaat een systeem van checks en balances aan vooraf. Bart Groothuis, Europarlementariër voor de VVD en eerder hoofd van het Bureau Cyber Security van het ministerie van Defensie, zegt tegen Follow the Money: ‘In de Verenigde Staten betreft het in een democratische rechtsstaat ingebedde wetgeving, waarbij elk verzoek van een dienst via de rechter gaat. Bovendien hebben de VS geen offensief spionageprogramma lopen tegen Nederland. Landen als China, Rusland en Iran hebben dat wel.’
Lees verder
Na een lange werkdag in het voorjaar van 2020 stapt cybersecurity-expert Gabriel Cirlig zijn appartement in Londen binnen. Hij heeft een kleine, witte doos bij zich.
Onderweg naar huis had Cirlig een reclame gezien voor de Redmi Note 8, de nieuwste smartphone van het Chinese techbedrijf Xiaomi. Hij was vooral geïntrigeerd door de prijs-kwaliteitverhouding, vertelt hij tegen Follow the Money: die vertrouwde hij niet. Het is een mooie, snelle telefoon, met bovendien een goede camera, maar de nieuwprijs is slechts 150 Britse pond. Hoe kan zo’n goede telefoon zo weinig kosten?
Cirlig, die in 2018 op de Roemeense Forbes 30 under 30 stond vanwege zijn werk rond cybersecurity, besluit de Redmi Note 8 meteen op te pikken. Eenmaal thuis onderwerpt hij het apparaat aan dezelfde procedure als al zijn andere tech-aankopen: op de snijtafel ermee.
Of het nu gaat om laptops, smart-tv’s of auto’s: minutieus deconstrueert de Roemeen hun onderliggende soft- en hardware. Op deze manier ontdekte hij in 2018 bijvoorbeeld dat zijn auto hem bespioneerde.
Nu is de Xiaomi aan de beurt. Met een paar technische ingrepen lukt het Cirlig om inzicht te krijgen in de datastroom die zijn fonkelnieuwe aankoop de wereld instuurt. Van het resultaat slaat hij steil achterover: de telefoon verzamelt een gigantische hoeveelheid gegevens over het gedrag van zijn gebruiker en stuurt die door naar China. Wanneer Cirlig daarna onderzoek doet naar de software van een aantal andere Xiaomi-toestellen, blijkt dat die hetzelfde doen.
Het Litouwse ministerie van Defensie deelt mee dat toestellen van Xiaomi serieuze veiligheidsrisico’s bevatten en raadt burgers af Chinese telefoons te kopen
Het onderzoek van Cirlig ontketent een privacy-rel. Xiaomi – dat het datalek eerst nog ontkent – komt vervolgens met een enhanced incognito-modus die de privacy van gebruikers zou waarborgen. Cirlig stelt echter al snel vast dat dit een wassen neus is.
In september 2021 komt Xiaomi opnieuw negatief in het nieuws. Het Litouwse ministerie van Defensie deelt mee dat toestellen van de fabrikant serieuze veiligheidsrisico’s bevatten en roept burgers zelfs op helemaal geen smartphones van Chinese komaf meer te kopen. Wie al een Chinese smartphone heeft, kan die volgens onderminister van Defensie Margiris Abukevicius het beste weggooien.
Ook in Nederland liggen de toestellen van Xiaomi in de schappen. Onze regering ziet vooralsnog geen reden om die in de ban te doen. Experts pleiten tegenover Follow the Money intussen voor onafhankelijk, eigen onderzoek naar de potentiële risico’s van deze telefoons. Wat is er precies aan de hand?
De rijzende ster van Xiaomi
In een paar jaar tijd is Xiaomi uitgegroeid tot een dominante speler op de internationale smartphonemarkt. Hun assortiment is breed: Xiaomi maakt alles, van smart-tv’s en elektrische scooters tot airfryers en beveiligingscamera’s. ‘Als je wilt, kun je je hele leven met Xiaomi-producten inkleden,’ zegt Cirlig.
Vanaf 2019 gaat de opmars snel: dat jaar treft de VS onder de regering-Trump harde maatregelen tegen Xiaomi’s landgenoot Huawei. Het marktaandeel van Huawei zakt als een pudding in elkaar en Xiaomi springt in het gat.
Met succes: in juli 2021 behaalt het bedrijf voor het eerst de tweede plaats op de wereldwijde smartphonemarkt. Ze staan achter Samsung, maar boven Apple. Op de Europese markt wordt Xiaomi – dat zijn West-Europese hoofdkantoor in Nederland heeft gevestigd – een maand later zelfs koploper.
De telefoons van het merk onderscheiden zich door hun hoge kwaliteit en schappelijke prijs. Maar er zit een adder onder het gras. Uit het onderzoek van Cirlig blijkt dat Xiaomi-telefoons al het surfgedrag op de ingebouwde webbrowser in realtime doorsturen. Zodra je een pagina opent of een Google-zoekopdracht uitvoert, gaat er een berichtje naar de servers van Xiaomi – zelfs nadat je die zogenaamde incognito-, of privé-modus hebt aangezet.
Dossier
Dossier China
Wat betekent de opmars van China voor Nederland en Europa?
Daar blijft het niet bij. De ingebouwde nieuws-app stuurt door welke artikelen je leest en van welke media ze afkomstig zijn. De ingebouwde mediaspeler stuurt de namen door van de nummers en video’s die je ermee afspeelt, online en offline.
‘De apparaten van Xiaomi weten alles van je,’ zegt de Roemeen. ‘Welke muziek je luistert, welke mapjes je aanmaakt, hoe je die noemt, hoe lang telefoongesprekken duren, wat je opzoekt in je browser... Ze sturen het allemaal door.’
In die datastroom zitten bovendien allerlei stukjes informatie waarmee Xiaomi je gegevens eenvoudig aan elkaar kan knopen. Wie een Xiaomi-telefoon heeft, heeft toegang tot Xiaomi’s eigen cloud-opslagdienst en app store: je hoeft je alleen maar te registreren met je e-mailadres of socialemedia-account. Maar ben je eenmaal ingelogd, dan stuurt de telefoon voortaan dat gebruikers-ID mee met je surfgedrag. Zo weet het bedrijf altijd welke data van welke gebruiker afkomstig zijn. Zelfs wanneer je uitlogt, blijft de telefoon deze identificatiecode meesturen.
Niet alleen de ingebouwde apps en webbrowser sturen gegevens door, ook het besturingssysteem van de telefoon deelt enthousiast data met het moederbedrijf. In een vorige maand verschenen rapport inventariseren onderzoekers van de universiteiten van Edinburgh en Dublin welke informatie diverse merken Android-telefoons versturen over hun gebruikers. Ook hier zijn de Xiaomi-telefoons het slechtste jongetje van de klas. Xiaomi, Huawei en Samsung sturen de meeste gegevens door, maar Xiaomi onderscheidt zich doordat het de ‘meest uitgebreide data’ over gebruikersinteractie met het toestel verzamelt.
Een ander gebruikers-ID instellen, het apparaat terugzetten naar de fabrieksinstellingen of het besturingssysteem opnieuw installeren – niets helpt
Zo laten de Xiaomi-toestellen het moederbedrijf weten welke apps er op je telefoon staan, wanneer je die gebruikt, hoe lang ze op je scherm staan en wanneer je sms’jes verstuurt. Via de unieke identificatiecode die fysiek in het apparaat zit ingebakken, kan Xiaomi je volgens de onderzoekers altijd blijven volgen. Een ander gebruikers-ID instellen op je toestel, het ding terugzetten naar de fabrieksinstellingen of het besturingssysteem opnieuw installeren – niets helpt.
‘Een klinkklare schending van de privacy’
Zelfs wanneer je via een ‘opt-out’ je telefoon opdraagt geen data van je te delen, blijft het toestel data doorsturen naar de servers van Xiaomi.
‘Een klinkklare schending van de Europese privacyregels,’ noemt privacy-advocaat en onderzoeker aan de Universiteit van Amsterdam Ot van Daalen dat. Van Daalen vertelt dat de data die Xiaomi via smartphones verzamelt zeer gevoelig kunnen zijn: ‘Denk aan apps die moslims helpen te bepalen wanneer zij moeten bidden, of gay dating apps. Dat is heel persoonlijke informatie. Zulke gegevens mag je helemaal niet verwerken, tenzij je daar een goede grond voor hebt. Die ontbreekt hier.’
Belgische Staatsveiligheidsdienst
Elk Chinees bedrijf, en dus ook Xiaomi, moet gegevens delen met de overheid indien die daarom vraagt
Volgens cyberexperts verzamelen partijen als Xiaomi en Huawei de data over hun gebruikers vooral vanuit commercieel oogpunt. Maar ook de Chinese overheid kan bij die data, inclusief die van niet-Chinese gebruikers, zodra die bij een Chinees bedrijf zijn opgeslagen. Sinds 2017 geldt in China een cyberveiligheidswet die daarin voorziet.
‘Elk Chinees bedrijf, en dus ook Xiaomi, moet gegevens delen met de overheid indien die daarom vraagt,’ zegt de Belgische Staatsveiligheidsdienst tegen Follow the Money. ‘De mate van controle is niet steeds dezelfde, maar het potentieel is wel constant aanwezig.’ Tegen het Belgische blad De Tijd maakt ze dit nog concreter: ‘Bedrijven van het formaat van Huawei, Xiaomi, Oppo en OnePlus hebben een partijcomité van de Chinese Communistische Partij (CCP) binnen het bedrijf. De taak van zulke partijcellen is te zorgen dat de beleidslijnen van de CCP ook door het bedrijf worden gevolgd.’
De Belgische Staatsveiligheidsdienst waarschuwde al publiekelijk voor spionage via Chinese smartphones, waaronder die van Xiaomi. Naar aanleiding van Kamervragen van de Nieuw-Vlaamse Alliantie (N-VA) zei de dienst in juli van dit jaar onomwonden tegen De Tijd: ‘We willen wijzen op de potentiële spionagedreiging bij het gebruik van deze toestellen.’
Xiaomi verzamelt meer en gevoeliger data dan andere aanbieders. Dat kan niet alleen gevolgen hebben voor jezelf, waarschuwt Cirlig: ‘Mensen kijken vaak alleen naar hun eigen privacy. Het maakt ze vaak zogenaamd niet uit dat hun data gedeeld worden. Maar het gevaar zit hem niet eens in de persoonsgegevens van een individu, maar van alle mensen uit je buurt, je straat of je stad. Die gebundelde data kunnen worden gebruikt om de publieke opinie en zelfs verkiezingen in een land of regio te beïnvloeden.’
‘Ga er maar vanuit dat als een inlichtingendienst aan informatie wil komen, ze alle mogelijkheden benutten die ze hebben’
Cirlig wijst op de Russische inmenging in de Amerikaanse presidentsverkiezingen in 2016 en de waarschuwing van EU-buitenlandchef Josep Borell dat de EU niet bestand is tegen de hoeveelheid desinformatie uit China. Kortom: ‘Als mensen er waarde aan hechten dat ze kunnen blijven leven zoals ze nu doen en niet beperkt willen worden door invloed van een externe macht, moeten ze hier iets aan doen.’
In zijn jaarverslag van 2020 waarschuwt ook de Nederlandse Algemene Inlichtingen- en Veiligheidsdienst (AIVD) voor de ‘wereldwijde, grootschalige vergaring van persoonsgegevens door Chinese actoren’. Daaronder vallen volgens de AIVD reis-, visa-, paspoort-, vlucht-, telefoon-, en medische gegevens. China gebruikt die informatie volgens de dienst onder andere om ‘profielen te maken van medewerkers van bedrijven en instellingen waar het land digitaal wil inbreken’. Aangezien die activiteiten zich uitstrekken tot ‘Nederlandse doelwitten’, spreekt de AIVD van een ‘bedreiging voor de Nederlandse veiligheid.’
Volgens IT-beveiligingsspecialist Matthijs Koot maken inlichtingendiensten vaker gebruik van data die door private organisaties worden verwerkt. ‘Ga er maar vanuit dat als een inlichtingendienst aan informatie wil komen, ze alle mogelijkheden benutten die ze hebben.’ Op de vraag of de Chinese diaspora of afvalligen zo in de gaten kunnen worden gehouden, antwoordt hij: ‘Zeker weten doe je het niet. Maar bij autoritaire regimes moet je er eigenlijk van uitgaan dat dit soort mogelijkheden voor dit soort zaken kunnen worden ingezet.’
Censuur
De Litouwse veiligheidsdienst vond nog een ander probleem bij de Xiaomi-telefoon die het onderzocht: software die aan de hand van trefwoorden informatie censureert. De dienst ontdekte dat systeem-apps van Xiaomi regelmatig en automatisch het bestand ‘MiAdBlacklistConfig’ van een server in Singapore downloaden. Op 27 september 2021 bevatte dat bestand 1376 trefwoorden (drie keer zoveel als april 2021: toen stonden er 449 in), waaronder ‘World Uyghur Youth Conference’, ‘Free Tibet’, maar ook ‘transgender’, ‘virgin’, en ‘vaginas’. Op basis van deze lijst kan het apparaat volgens de onderzoekers doelgericht ‘multimedia displayed on the device’ blokkeren.
Het lijkt sterk op een filter om reclame en ongewenst materiaal, zoals porno, van het apparaat te weren. Dat daaronder ook politieke onderwerpen als Tibet en Oeigoeren worden geschaard, is echter reden tot zorg.
Hoe ver de censuur kan gaan is volgens beveiligingsexpert Koot niet duidelijk: ‘Het rapport levert geen technisch bewijs dat webpagina’s kunnen worden geblokkeerd. Mogelijk worden alleen advertenties geweerd. Maar alleen al het gericht blokkeren van advertenties, waarbij je ook moet denken aan advertenties van politieke content, kan een effectieve maatregel zijn voor beïnvloeding en censuur. Dat is al erg genoeg.’
De censuursoftware is voor de Europese markt uitgeschakeld, maar kan op afstand worden geactiveerd zonder dat de gebruiker dat doorheeft
De Litouwse onderzoekers constateerden dat de censuursoftware voor de Europese markt is uitgeschakeld. De software kan echter op afstand worden geactiveerd, zonder dat de gebruiker dat doorheeft. Deze functionaliteit vormt volgens de Litouwse onderzoekers een potentiële bedreiging voor de vrije toegang tot informatie, in Litouwen en ‘in alle andere landen waar Xiaomi-toestellen worden gebruikt’.
Xiaomi heeft inmiddels aangekondigd dat het onderzoek laat doen naar de bevindingen inzake de censuursoftware. In Duitsland heeft de toezichthouder Bundesamt für Sicherheit in der Informationstechnik (BSI) naar aanleiding van het Litouwse rapport inmiddels een eigen onderzoek ingesteld naar Xiaomi.
Litouwen en China
Dat juist de Litouwse veiligheidsdiensten zich zo fel uitspreken tegen bepaalde Chinese telefoons, is geen toeval. Er is al enkele maanden een conflict gaande tussen China en Litouwen.
De oorzaak is Litouwens nauwe band met Taiwan, die het recent verder aanhaalde. China ziet Taiwan als onderdeel van China, maar het eiland zelf denkt daar anders over. Litouwen gaat niet zo ver dat het Taiwan als souvereine staat erkent, maar krijgt binnenkort als enige Europese land wel een officiële vaste vertegenwoordiger van het eiland. Ook ontvangt het overheidsafgevaardigden uit Taiwan.
China is daar woedend over. Kamerlid Matas Maldeikis zei onlangs in Nieuwsuur, dat hem omschreef als ‘de beste vriend van de Taiwanezen in het Litouwse parlement’: ‘Geen enkel land kan voorschrijven met wie je zaken mag doen, met wie je mag communiceren en met wie je commerciële banden kunt hebben.’
De Chinese ambassadeur verliet Litouwen stante pede, en Peking vroeg de Litouwse ambassadeur China te verlaten. Na het Litouwse onderzoek naar Xiaomi-telefoons kondigde China economische sancties tegen Litouwse bedrijven aan.
Lees verder
Inklappen
Eigen onderzoek noodzakelijk
De Nederlandse regering spreekt zich vooralsnog niet uit. In antwoord op Kamervragen van Queeny-Aimée Rajkowski (VVD) schreef minister Stef Blok van Economische Zaken en Klimaat de Tweede Kamer op 4 november dat er ‘op dit moment geen aanleiding is’ het Litouwse advies over te nemen om Chinese smartphones te verbannen.
De minister meldt dat er sinds 2018 binnen de Rijksoverheid zestig Xiaomi-telefoons zijn gekocht. Die ‘worden niet gebruikt voor de eigen bedrijfsvoering’, maar zijn aangeschaft ‘als onderwerp van technisch, forensisch of opsporingsonderzoek’. Of Xiaomi met het doorgeven van data of zijn censuursoftware in strijd handelt met Nederlandse privacywetgeving of grondrechten, laat de minister over aan de relevante toezichthouders.
Ook binnen de Europese Unie houdt Nederland zich op de vlakte. Een brief die een Litouwse Europarlementariër over de Chinese smartphones aan de Europese Commissie stuurde, werd door ruim dertig Europarlementariërs uit verschillende landen ondertekend. Daar zat geen enkele Nederlander bij. Niet omdat ze niet kritisch zijn, zegt Europarlementariër Bart Groothuis (VVD), maar omdat de brief ‘rommelig is opgesteld’.
Europarlementariër Bart Groothuis
Nederland is vanwege onze nauwe economische banden met China niet zo kritisch als de Litouwers, de Noren en de Zweden
Wel zegt Groothuis, die eerder aan het hoofd stond van het Bureau Cyber Security van het ministerie van Defensie: ‘Natuurlijk moeten we ons zorgen maken over censuur van een autocratisch land dat via technologie steeds meer invloed krijgt over onze vrijheden. We moeten niet naïef zijn. China legt steeds meer nadruk op het verkrijgen van informatie uit telecommunicatie. Aan de overheid gelieerde hackersgroeperingen trekken wereldwijd op steeds grotere schaal telecomproviders leeg. Als je het zo bekijkt, is de vraag of ze gebruik maken van de mogelijkheid om data op te vragen bij smartphone-bedrijven een no-brainer.’
‘Om ons daartegen te beschermen, moeten we de mogelijkheid onderzoeken om aanbieders in de sector te weren die niet in overeenstemming handelen met onze democratische waarden,’ zegt Groothuis. Wat Xiaomi betreft pleit hij in dit verband voor onafhankelijk onderzoek, bijvoorbeeld door het Nationaal Cyber Security Centrum (NCSC) of het Nationaal Bureau voor Verbindingsbeveiliging (NBV), maar ook voor onderzoeken door hun Europese pendanten: ‘Je hebt eerst onderzoek nodig door veiligheidsdiensten uit heel Europa. Die moeten zich uitspreken. Pas dan kun je iets ondernemen.’
Maar, zo benadrukt hij, ‘welke maatregelen je uiteindelijk ook tegen Chinese partijen neemt, het verdient de voorkeur dat in Brussel te doen. Omdat je als land alleen de vrije, interne markt niet kunt doorkruisen, en vanwege het risico op vergelding. Nederland is vanwege onze nauwe economische banden met China niet zo kritisch als de Litouwers, de Noren en de Zweden. Die zijn economisch veel minder afhankelijk.’
Matthijs Koot is echter sceptisch over de resultaten van een onderzoek naar Xiaomi. Koot: ‘Het zou goed zijn als Nederland zelfstandig onderzoek doet, maar als dat al wordt gedaan is er een mogelijkheid dat de uitkomst daarvan niet of niet volledig gepubliceerd wordt, omdat er ten aanzien van China ook andere belangen spelen.’
Voor cybersecurity-expert Gabriel Cirlig is de zaak zo klaar als een klontje. Wil je dat je gegevens veilig blijven, koop dan geen Xiaomi. ‘Het is spyware in een doosje.’ En ‘if the product is free, you’re the product. Als iets te mooi lijkt om waar te zijn, is het dat meestal ook.’
FTM heeft vragen uitgezet bij Xiaomi, de NCTV en de AIVD. Xiaomi was niet bereikbaar voor commentaar; de NCTV heeft toegezegd later op maandag nog met antwoorden te komen. We zullen het stuk updaten als we die antwoorden binnenhebben.
- Update maandag 8 november,16 uur: de reactie van de AIVD hebben we hieronder opgenomen.
- Update woensdag 10 november, 11:00: een weggevallen alinea (beginnend met ‘Maar, zo benadrukt hij...’) is op z’n plaats gezet.
- Update woensdag 17 november: een vertegenwoordiger van Xiaomi heeft een inhoudelijke reactie met ons gedeeld. We hebben deze reactie integraal opgenomen in het kader hieronder.
Reacties AIVD en Xiaomi
Reactie AIVD
De AIVD verwijst in haar reactie in eerste instantie naar de antwoorden op de Kamervragen die over het rapport uit Litouwen zijn gesteld. Over een aantal specifieke vragen (bijvoorbeeld over de samenwerking met buitenlandse diensten) wil de AIVD geen uitspraken doen. In algemene zin wil de AIVD het volgende kwijt:
- Vanuit de AIVD doen we onderzoek naar dreigingen gericht tegen de Nederlandse naar dreigingen gericht tegen de Nederlandse nationale veiligheidsbelangen. We weten dat China een offensief cyberprogramma heeft tegen Nederlandse belangen. Om risico’s te kunnen beheersen is onwenselijk om afhankelijk te zijn voor systemen of producten uit landen die een offensief cyberprogramma tegen Nederland en Nederlandse belangen hebben.
- Over concrete onderzoeken en samenwerkingsverbanden doen we geen uitspraken. Op basis van geverifieerde inlichtingen deelt de AIVD adviezen en handelingsperspectief om de weerbaarheid o.a. binnen de Rijksoverheid te vergroten. We publiceren daar ook regelmatig over.
- Zo stellen we in het Dreigingsbeeld Statelijk Actoren samen met MIVD en NCTV, dat een toenemende afhankelijkheid van buitenlandse technologie een gegeven is, aangezien geen land beschikt over alle kennis en productiemiddelen om technologisch onafhankelijk te opereren.
- Maar daarbij waarschuwen we tegelijkertijd nadrukkelijk voor het risico dat met technologische toeleveringen de digitale spionage- en sabotagemogelijkheden toenemen. Hierin schuilt ook een risico voor de continuïteit van de vitale infrastructuur. Dit risico geldt met name voor landen met offensieve cyberprogramma’s tegen Nederland, zoals China.
- Ook in recente jaarverslagen waarschuwt de AIVD al dat het onwenselijk is dat Nederland voor de uitwisseling van gevoelige informatie of voor vitale processen afhankelijk is van bedrijven uit landen die een offensief cyberprogramma tegen Nederlandse belangen uitvoeren. De AIVD maakt aan betrokken partijen, zoals ministeries, duidelijk hoe de verhoudingen zijn tussen zulke bedrijven en hun overheid zodat zij risico’s kunnen afwegen.
- In het meest recente jaarverslag maakte de AIVD bovendien melding van het feit dat China op grote schaal persoonsgegevens vergaarde. Die buitgemaakte persoonsgegevens worden door China onder meer gebruikt om profielen te maken van medewerkers en bedrijven waar het land digitaal wil inbreken. De wereldwijde, grootschalige vergaring van persoonsgegevens door Chinese actoren wordt daarom als een bedreiging voor de Nederlandse veiligheid gezien.
- Om uitwisseling van gerubriceerde informatie mogelijk te maken zonder dat dit in verkeerde handen valt ontwikkelt en evalueert de AIVD informatie beveiligingsprodukten. Uitbreiding en financiering wordt hiervoor gezocht via de Nationale Crypto Strategie.
- En de AIVD werkt als National Security Authority (NSA taak) mee aan het vormen van EU en NAVO beleid om gerubriceerde informatie te beschermen en inspecteert ook of gebruikers van deze informatie zich aan de regels houden.
Reactie Xiaomi
Op dinsdag 16 november stuurde Xiaomi een Engelstalige reactie:
Xiaomi ("we") is aware of the "Cybersecurity assessment of 5G-enabled mobile devices" report ("The Report"), which was recently published by the Cybersecurity and Information Authority of Lithuania (NCSC). We take the allegations made in the report seriously. While we dispute the characterization of certain findings, we are engaging an independent third party expert to assess the points raised in the report. We are confident in the integrity of our devices and compliance practices of our business, and we believe a third party will verify this for our users and partners.
Specifically, Xiaomi would like to address two major concerns raised in the report:
1. Alleged Censorship
Xiaomi's devices do not restrict or filter communications to or from our users. Xiaomi has never and will never restrict or block any personal behaviors of our smartphone users, such as searching, calling, web browsing or the use of third-party communication software. The NCSC report does not allege that we do so.
The report points to Xiaomi's use of advertising management software that has the limited ability to manage paid and push advertising delivered to devices through Xiaomi apps such as Mi Video and Mi Browser. This can be used to shield users from offensive content, such as pornography, violence, hate speech, and references that may offend local users. This practice is common in the smartphone and internet industry worldwide[1].
We review our advertisement management system policies from time to time to ensure they meet the needs and expectations of our users.
Xiaomi is committed to operating responsibly and transparently across all jurisdictions. We are committed to constant improvement and innovation, and welcome engagement with users, regulators and other interested stakeholders.
2. Data Processing and Data Transfer
The report also wrongly suggests inappropriate data stewardship. In fact, Xiaomi is fully compliant with all requirements of GDPR, including handling, processing and transfer of end-user data. Our compliance applies to all systems, apps and services. Any use of personal data is contingent on the valid consent of the end-user and is always in accordance with local or regional laws and regulations of the European Union and its Member States.
Xiaomi operates in accordance with ISO/IEC 27001 Information Security Management Standards and the ISO/IEC 27701 Privacy Information Management System. Xiaomi has also received Enterprise Privacy Certification from TrustArc on a yearly basis since 2016. This ensures the best possible privacy and security protections for the end-user.
Xiaomi would like to emphasize once again, that we are committed to the privacy and security of our users. We operate with the highest standards and comply with all local and regional regulations.
[1] See Article 13 Controversial Content of Facebook Ads policies, available at https://www.facebook.com/policies/ads/; Political Content Clause of Google Ads policies, available athttps://support.google.com/adspolicy/answer/6008942
Lees verder
Inklappen
61 Bijdragen
Alex Hoen 4
Jan Ooms 10
Alex HoenAlex Vis 3
Jan OomsAlex Hoen 4
Jan OomsJan Ooms 10
Alex HoenApple en dus iOS. Ik ben me er terdege van bewust dat Apple ook datahonger heeft en heb alle data-deel-functies uitgeschakeld. Ik gebruik geen enkele clouddienst, geen enkel soort social media en maak gebruik van ad-blokkers. Mijn browser wordt na elke afgesloten sessie gereinigd van cookies, bewaarde geschiedenis, etc. en daarnaast vindt er elk uur een geautomatiseerde reiniging plaats.
Buitenshuis staat de WiFi uit en enkel na goedkeuring is er mobiel dataverkeer toegestaan. Ik heb niet de illusie dat er geen data van/over mij verzameld wordt, maar probeer het tot een minimum te beperken dan wel zoveel mogelijk te voorkomen. Met XiAomi is dat blijkbaar niets eens mogelijk! Zelfs niet wanneer dit wél zou moeten volgens de instellingsmogelijkheden van de toestellen.
‘Heeft u (ook) een Google account?’
Nee, absoluut niet!
‘Voor het deel 'onder water' maakt het mij niet uit of je gebeten wordt door de hond of de kat imo.’
Precies het soort naïviteit dat ik bedoel…
Sebastiaan Brommersma 3
Jan OomsVwb de kat en de hond (lees VS v. China): veiligheidsdiensten/overheden zullen altijd mogelijkheden hebben om bij data te komen die het land binnenkomt. De crux zit hem in de voorwaarden waaronder. In China is de wetgeving die toegang geeft dermate vaag geformuleerd, dat daar veel ruimte zit. In de VS is de toegang met meer zichtbare waarborgen omkleedt, oa met rechterlijke toetsing voor- en toezicht achteraf. De VS is, ondanks alles, een democratische rechtstaat. Dat er geen actief aanvalsplan jegens Nederland is vanuit de VS (en bijvoorbeeld wel vanuit China, Rusland en Iran) is eveneens een belangrijk onderscheid.
Ad Van Heeswijk 6
Sebastiaan BrommersmaEn als je de advocaten niet kunt betalen heeft de rechtsstaat het ook moeilijk.
Alex Hoen 4
Jan OomsDiscussie moet gaan over falend toezicht van de autoriteiten op HW en dienstenleveranciers. Marleen Stikker heeft goede ideeën over digitale hygiëne. Hoe naïef wij nu zijn, kunnen we niet eens weten. Ik kijk naar prijs/kwaliteit vd smartphones als ICT deskundige en dan verkies ik een Chinees boven een vendor-lock in door een nep-Yank. Wat ik kan beschermen aan privacy, doe ik. Ik wil deelnemen aan de samenleving en met een Chinees neem ik een voor mijzelf aanvaardbaar risico.
Alex Hoen 4
Jan OomsJan Ooms 10
Alex HoenDatzelfde geldt dan voor u. Overigens een TomTom geeft óók gebruik(er)sdata door!
Alex Hoen 4
Jan OomsGaston Muitjens
Alex HoenAlex Hoen 4
Gaston Muitjensben wellerdieck 4
Jan OomsIk heb bv altijd de lens voor het selfie afgeplakt (in de naïeve waan dat dat iets doet).
Co Stuifbergen 6
Alex HoenAlex Hoen 4
Co StuifbergenNiek Jansen 9
Alex HoenAlex Hoen 4
Niek JansenNiek Jansen 9
Alex HoenCo Stuifbergen 6
Alex HoenAmnesty International moest onlangs Hong Kong verlaten.
Alex Hoen 4
Co StuifbergenCailin Kuit 1
Alex HoenAlex Hoen 4
Cailin KuitGaston Muitjens
Alex Hoenben wellerdieck 4
Alex HoenAlex Hoen 4
Cailin KuitAlex Vis 3
Daphne Van Houte 1
Sebastiaan Brommersma 3
Daphne Van HouteGerrit Zeilemaker 6
Marco Fredriks 4
Gerrit ZeilemakerDavid Bakker
Sebastiaan Brommersma 3
David BakkerJaap Kerkmeester
is dit op OS-niveau of op chip-niveau?
Xiaomi leenen zich namelijk prima om er een ander OS op te installeren, dat is ook de reden dat ik ze koop
Bram van den Heuvel
Jaap KerkmeesterIk heb mijn huidige smartphone gekocht in een tijd dat ik meer gaf om de lage prijs dan om de privacy, en ik boot liever een nieuwe OS op m'n telefoon dan dat ik een flinke som geld uittrek voor een nieuwe.
Hendrik Wisse Kinderman
Bram van den HeuvelSylvester Roos
Bram van den HeuvelSebastiaan Brommersma 3
Sylvester RoosDe onderzoeken die wij bestudeerden voor het artikel beperken zich tot data-verzameling en doorgifte op OS-, browser- en app-niveau. Bewijs voor doorgifte op chip-niveau kwamen wij niet tegen. Gezien de resultaten van ons onderzoek is het verstandig niet blind op de hardware te vertrouwen.
Sylvester Roos
Jaap KerkmeesterWalter Boer 3
Jesse Voet
Mira Sys 1
Jesse VoetSebastiaan Brommersma 3
Mira SysAlex Hoen 4
Sebastiaan BrommersmaTim Gorree 3
En is de ironie dan niet dat men bv. in de VS. door gebruik van een chinees toestel de eigen data uit handen blijft van de Westerse bedrijven die niet minder fanatiek alle gebruikersdata opslaan en ook verplicht zijn deze te delen met de verschillende overheden?
Is dit nu het slagveld om data in de moderne cyberoorlog?
Uiteraard is ’cyber’ tegenwoordig immer het domein van zowel nationale veiligheid en commerciele belangen, wat over de hoofden van burgers met hun eigen data wordt uitgevochten, en die daardoor een speelbal zijn geworden in handen van het grote internationale bedrijfsleven.
Uiteindelijk komt het neer op:
Identiteit = Transactie
Oftewel grote tech-bedrijven willen namens jouw je digitale identiteit beheren omdat ze daarmee in het bezit komen van jouw ’small’ data. Het ontginnen daarna levert immers geld en nog meer data op.
Er zou eigenlijk een Europese tech sector moeten zijn die hiervoor oplossingen ontwikkelt teneinde de Europese belangen te dienen en de Europese wetgeving rondom privacy te bewaken. Het gebrek hieraan maakt Europese landen machteloos op dit gebied en het enige wat ze kan is anti trust rechtszaken voeren. Verder is ze als bondgenoot gehouden de amerikaanse lijn te volgen. Machteloos om de eigen wetten en regelgeving vorm te geven?
Op dit moment rolt trouwens ook Huawei haar eigen OS uit als gevolg van de boycott, dat gegeven mis ik ook in dit artikel.
Dus nu zien we een soort proxy cyberoorlog ontstaan op het gebied van consumentenelektronica, wie kan het grootste visnet maken? Zou het kunnen dat de coronapas ook zijdelings gerelateerd is aan deze hele kwestie?
Die gaat toch immers ook om uiteindelijk een nieuwe digitale identiteit te bewerkstelligen met alle data vandien?
R.W. Soer
Tim GorreeMira Sys 1
Tim GorreeDat neemt niet weg dat ook andere onderwerpen hieraan gerelateerd interessant zijn. Bijvoorbeeld de strijd tussen cyberveiligheid en het commerciële belang van partijen die grote hoeveelheden data verzamelen en verkopen, die jij ook noemt.
En het zou inderdaad slim kunnen zijn om deze cybersecurityzaken op Europees niveau te organiseren, waar ook Europarlementariër Groothuis voor pleit.
Tim Gorree 3
Mira SysPetrus Harts 3
Zal ik even een uitdraai maken van de aanvallen op een server die ik beheer? 80% komt uit China. Vroeger blokkeerde ik die IP-adressen nog wel eens, maar er is geen beginnen meer aan. En dat zijn geen andere actoren die een VPN gebruiken om zich voor te doen als komend uit China, want er zijn geen VPN's die die mogelijkheid bieden.
De platheid van de aanvallen verbijstert mij al een decennium. Er wordt geen enkele poging gedaan de herkomst te verbloemen; iedereen met enig benul van IP-adressen kan zien dat het uit China komt.
Zo'n publiek vertoon van lak hebben aan de regels zie je alleen bij naties die zich oppermachtig wanen (en mogelijk al zijn).
H J vd Meer 2
Eric Coomans
Niek Jansen 9
En niet alleen voor Israël maar ook voor Europese bedrijven is de ontwikkeling, toepassing en export van spyware big business:
https://www.dewereldmorgen.be/artikel/2013/09/10/u-vraagt-wij-leveren-europese-spionagebedrijven-verkopen-aan-twijfelachtige-regimes/
en dat alles veelal in nauwe samerwerking met IT- giganten zoals Facebook, Google, Microsoft edm.
In de China reeks wordt uiteraard alleen China geviseerd, maar er zou best wat meer gewezen mogen worden op het feit dat het ‘deugdzame’ westen zich even of zelfs nog meer schuldig maakt aan de zonden die alleen China worden aangewreven.
Cyberspionage is een wereldwijd en niet alleen een Chinees probleem.
9/11 is met de z.g. ‘war on terror’ de aanjager geweest van massale surveillance van de Amerikaanse NSA over de hele wereld en vooral ook in eigen land (Patriot Act), waar Wikileaks met Snowden en Assange zoveel onthullingen over hebben gedaan, wat de reden is dat beiden door de wraakzuchtige VS worden vervolgd.
In de vervolging van klokkenluiders mbt de westerse spionage is FTM met de westerse mainstream media echter niet geïnteresseerd, terwijl Julian Assange in zeer slechte gezondheid zijn uitlevering aan de VS afwacht in de beruchte Londense Belmarsh gevangenis en al 11 jaar van zijn vrijheid is beroofd.
En zodra Snowden in het voor hem gastvrije Rusland zijn neus buiten de deur steekt wordt hij ook opgepakt door de VS.
En daarmee staat de westerse persvrijheid in de wereld onder druk, maar FTM verdringt dat door China als
zondebok op te blijven voeren.
Marcel Kollenaar 2
bart Ebisch
Sebastiaan Brommersma 3
bart EbischJ.P. Sartre
Maarten van Eeuwijk 2
Bespioneren van gebruikers is wat smartphones doen. Nu wil China ook een punt van de taart en ineens vallen we erover en gaan we geschokt doen?
Geen dubbele standaarden a.u.b.
(Zoals ik: Ik heb geen smartphone.)
Sebastiaan Brommersma 3
Maarten van EeuwijkA van der Heijden 1
J.P. Sartre
A van der HeijdenAl deze apparaten zijn ook gevoelig voor hackers van buitenaf.
Ik snap werkelijk niet waarom mensen zo'n digitale spion in huis halen.
ruud Groenewoud 1
maar gemonitord wordt je. Zelf heb ik geen smartphone, aangezien ik alleen maar bel met mijn mobieltje.