Podle NÚKIB představuje používání softwaru a hardwaru od Huawei a ZTE bezpečnostní hrozbu. Máme se čeho obávat?
Pokud to zjednoduším, tak hrozby zde samozřejmě čistě teoreticky možné jsou. Jsou možné ovšem od kohokoliv, nemusí se jednat jen o Huawei. Přes samotné zařízení tečou nějaká data, přes celou infrastrukturu také. Teoreticky tak výrobce infrastruktury může tato data získat. Otázkou je, co by ho mohlo zajímat a k čemu by mu to bylo.
A z praktického hlediska?
Z praktického hlediska se nedomnívám, že by se ze smartphonů záměrně potají stahovala nějaká zásadní data. Ale ano, jsou známé případy, kdy smartphony některých čínských firem odesílaly data na servery do Číny. Na to se přišlo a šlo především o marketingová data s tím, že teoreticky bylo možné telefony ovládat na dálku. Což byl vlastně větší problém, než že nějaká firma v Číně získala informace o poloze lidí v Evropě či v USA a že si třeba mohla přečíst jejich SMS a prohlédnout jejich fotky.
Navíc, pokud by zadní vrátka byla na infrastruktuře, tak je úplně jedno, kdo jaký telefon používá, vůbec by nešlo jen o telefony Huawei a může se to týkat i internetové komunikace nebo pevných linek. Proto taky infrastruktura z mého pohledu představuje případně větší hrozbu než samotné telefony.
Několikrát jste zmínil slovo infrastruktura. Tím se tedy myslí vysílače, pevné linky, ale třeba i modemy?
Telekomunikační infrastruktura je široký pojem. Od antén po ústředny a počítače, které to vše řídí. Huawei je sice významný dodavatel této infrastruktury, v Česku ho využívají všichni operátoři a v některých oblastech je to určitě dodavatel dominantní. Ale na druhou stranu součástí sítě jsou i prvky od jiných firem, takže tak úplně snadné by to kdokoliv, kdo by chtěl svůj hardware použít k špionáži, neměl. Ale teoreticky možné to je.
V čem je tedy problém s ohledem na infrastrukturu?
Problém je především v tom, že se tam sbíhá veškerá komunikace. Ať už hovory, nebo SMS či jiná data. Takže kdyby někdo chtěl mít přehled, přes infrastrukturu ho bude mít mnohem komplexnější než u dat z jednotlivých telefonů.
A u samotných telefonů by také šlo sbírat veškerá data?
Jak už jsem uvedl, teoreticky ano, ale brzo by se na to přišlo. Ta data musí odtéct a třeba u fotografií, pokud by po nich někdo v masovém měřítku toužil, by to byly obrovské objemy. Toho by si snadno všiml i pozorný uživatel telefonu, operátor pak při sledování provozu jistě také.
Deník N zveřejnil čísla o tom, kolik zařízení značky Huawei vlastní Správa Pražského Hradu. Uvedl také, že Hrad s firmou uzavřel kontrakt v roce 2014 bez výběrového řízení. Může to být problém?
Za určitých okolností ano. Otázkou je, kdo telefony dodal. Jestli nějaký český obchod nebo přímo Huawei. Pokud přímo Huawei, tak by věděl konkrétně komu co dodává a mohl by i telefony upravit. Technicky to možné je. Stejně tak by ale mohl telefony značky XYZ upravit i obchodník, který by zakázku vyhrál. Ale na pravidla takových zakázek by měl odpovědět někdo, kdo se o jejich bezpečnost stará.
Jak je to s telefony od Huawei?
Z mého pohledu je to stejné jako s telefony jiných značek. Nevím o tom, že by se chovaly nějak nestandardně. V principu smartphony posílají různá data, třeba o poloze, což ale musí uživatel povolit. Třeba Google to využívá ve svých mapách, kdy sleduje provoz na silnicích, nebo dokáže upozornit dopředu na zácpu při vaší obvyklé cestě do práce.
Takže obyčejným lidem hrozí nebezpečí a narušení soukromí od Huawei asi tak jako od Googlu?
Teoreticky ano, pokud to takto nazveme. Může sledovat chování samotného telefonu, může pak nabídnout aktualizaci a podobně. Může sbírat i nějaká další anonymizovaná data. Obvykle to řeší smlouva s uživatelem, kterou je potřeba potvrdit při prvním spuštění přístroje. Ale přiznám se, že podrobně jsem to zatím nestudoval. Což asi dělá málokterý uživatel. Já osobně s odesíláním dat o poloze problém nemám, výstupy aktivně využívám.
Mám telefon značky Huawei, který má operační systém Android. Ten má ale například i mobil značky Samsung. Tak jak je možné, že Huawei představuje hrozbu a Samsung ne?
Na trhu jsou sice telefony s čistým Androidem, ale těch není mnoho. Obvykle je v telefonu nějaká nadstavba, kterou si dodává každá značka svojí. U telefonů Huawei je to EMUI. Tam si výrobce může upravit grafiku a nějaké další prvky.
Podstatnější ale je, že moderní smartphony mají otevřený operační systém a dají se do nich nahrávat aplikace. A „nakazit“ aplikaci není tak složité. Takových se objevuje plno. Takže dostat do telefonu škodlivý software je velmi snadné. A není složité takovou aplikaci zamaskovat, aby o ní uživatel nevěděl.
A jak by se k mým datům mohl kdokoliv přes operační systém dostat?
K datům z telefonu se přes škodlivou aplikaci, řekněme viru, může dostat kdokoliv, kdo ji ovládá. To nemusí být výrobce, ale kdokoliv a takových případů se ročně objeví hodně a většinou se na ně přijde. Nedávno to byl třeba falešný nahrávač hovorů jako aplikace pro Android smartphony, který útočil na bankovní účty uživatelů.
Může se proti tomu koncový zákazník nějakým způsobem bránit? Pokud mě osobně varování NÚKIB vyděsí, co můžu udělat?
Pokud má člověk telefon Huawei a obává se, že ho sledují čínské úřady, tak jeho jedinou možností je ten telefon vypnout, vzít si SIM kartu a koupit si jiný.
Takže značka Huawei žádný problém nepředstavuje?
Osobně se domnívám, že celý ten problém je hodně velký, ale otázkou je, v čem je velký. Možná jsou zde opravdu bezpečnostní rizika, možná je to součást obchodní války. Těžko přesně říci, co tam vlastně kdo našel, protože to samozřejmě nikdo neřekl. To, že by Huawei přes svoji infrastrukturu mohl posílat nějaká data do Číny, o tom se teoreticky spekuluje dlouhou dobu, ale nikdo nikdy nezveřejnil jakýkoliv důkaz.
Teď jste zmínil, že velký problém vnímáte v tom, co se může stát. A co se čistě teoreticky může stát?
To dokážu jen těžko odhadnout. Zatím zde nepadlo nic konkrétního, já bych to zatím bral tak, že je zde zmíněna nějaká hrozba a že je možná, ale nikterak konkretizovaná.
Spíše si myslím, že s ohledem na telefony je to víření vody než něco reálného. V celém světě zatím nikdo firmě Huawei nedokázal, že by jejich telefon posílal nějaké informace do Číny. Já bych telefon nevyhazoval.
