Es ist mal wieder Zeit für einen #HuaweiblogErklärt Artikel. Denn aktuell wird wieder die „China-Handys sind gefährlich“-Sau durch’s Dorf getrieben. Und da es situationsbedingt zu HUAWEI aktuell leider nicht allzu viel zu (wirklich) neuen Geräten zu berichten gibt, scheinen sich viele auf solche Themen zu stürzen; gerne auch mit reißerischer entsprechender Überschrift.
Schwere Sicherheitsvorwürfe gegen Huawei und Xiaomi (CHIP)
Chinesische Smartphones im Visier des BSI (Tagesschau)
Was ist passiert?
Letzte Woche warnte das staatlichen Zentrum für Cybersicherheit in Litauen vor Sicherheitsrisiken in chinesischen Smartphones. Wobei sich „in chinesischen Smartphones“ tatsächlich erst einmal nur auf drei konkret geprüfte Modelle bezieht: das Huawei P40 5G, das Xiaomi Mi 10T 5G sowie um das OnePlus 8T 5G.
Diese Warnung wurde natürlich auch bei uns in Deutschland aufgegriffen. Und nach einigen Forderungen aus der Politik, wird nun auch das bei uns zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) tätig und leitet eine eigene Untersuchung ein.
Aus meiner Sicht ein vollkommen normaler und richtiger Prozess. Denn genau dafür ist das BSI zuständig. Und solche Warnungen sollten immer geprüft werden.
Politische Hintergründe
Bevor wir zu konkreten Fakten kommen, darf man an dieser Stelle vor allem auch politische Hintergründe nicht außer acht lassen. Denn Litauen hatte jüngst verstärkte Beziehungen zu Taiwan geknüpft. Dies kam in China, die weiterhin Taiwan als Teil des eigenen Staatsgebietes beanspruchen nicht wirklich gut an. In der Folge wurde der chinesische Botschafter aus Vilnius abgezogen und auch im Warenverkehr kam es zu ersten Einschränkungen seitens China.
Der zeitliche Zusammenhang zwischen diesen politischen Unstimmigkeiten und der Veröffentlichung eines Sicherheitsberichtes über chinesische 5G Smartphones, kann natürlich reiner Zufall sein. Oder eben auch das, was wir inzwischen nahezu tagtäglich in den Medien vorgesetzt bekommen, im Kontext politischer und wirtschaftlicher Auseinandersetzungen; gerade mit China.
Die Fakten
Bei der Prüfung des HUAWEI P40 Pro 5G wurde bemängelt, dass die AppGallery bei der Suche nach Anwendungen auch auf Quellen verlinkt, die seitens des staatlichen Zentrum für Cybersicherheit in Litauen als potentiell unsicher eingestuft werden.
Im Klartext:
Wenn eine App nicht in der HUAWEI AppGallery verfügbar ist, wird teilweise eine alternative Downloadmöglichkeit über andere App-Stores angeboten. Zuletzt wurde mir da vor allem ein Download via APKPure angezeigt. App-Stores die außerhalb der Zuständigkeit der Hersteller liegen, genossen vor allem in den Anfangszeiten von Android den Ruf des Illegalen. Gerade weil man hier oft auch kostenpflichtige Versionen abseits des offiziellen Google Play Stores „gratis“ laden konnte.
Dies ist aber bei den App-Stores, auf die die AppGellery verweist so nicht (mehr) der Fall.
APKPure ist ein App Store, der sehr ähnlich zum Play Store aufgebaut ist. Die Apps entsprechen dabei denen aus dem Google Play Store. Denn letztlich werden sie einfach nur aus dem Play Store abgeholt und im eigenen Store angeboten. Bereits vor dem Problem mit den Google Diensten bei HUAWEI war diese Alternative für manchen Nutzer mit Custom ROM sehr beliebt. Man ist eben nicht auf ein Google Konto angewiesen. Und auch hier ist die Sicherheit durch einen Prüfsummenabgleich gegeben.
Fazit (HUAWEI)
Das Fazit sieht also so aus, dass ihr euch bitte nicht durch entsprechende Meldungen und Überschriften als HUAWEI Nutzer in Panik versetzen lasst.
Fakt ist, dass dieser konkrete Hintergrund als Einstufung eines Sicherheitsbedenken hinsichtlich HUAWEI doch sehr dürftig ist. Ich selber nutze alternative App-Stores seit Jahren und hatte nie Probleme mit den heruntergeladenen Apps. Gerade dann, wenn ein Prüfsummenvergleich die Authentizität der App bestätigt und ich somit „das Original“ lade – nur eben aus einer anderen Quelle.
Ebenso ist Fakt, dass das BSI bisher keine Sicherheitsbedenken hinsichtlich der Smartphones von HUAWEI festgestellt hat. Gerade als der Handelsstreit zwischen den USA und China begann – mit den daraus folgenden Restriktionen für HUAWEI – wurde hier viel untersucht. Bis heute konnte nie ein Beweis gefunden werden, dass es bei der Nutzung von HUAWEI Geräten Sicherheitsbedenken für die Nutzer gibt.
Probleme für XIAOMI
Etwas anders fällt hingegen der Vorwurf bei XIAOMI aus. Hier wird das Sicherheitsrisiko des staatlichen Zentrums für Cybersicherheit als kritisch eingestuft. Der Vorwurf besteht darin, dass ein Zensurfilter für den Browser existiert. Dieser sei zwar beim untersuchten Gerät nicht aktiviert gewesen, aber angeblich auch aus der Ferne aktivierbar.
XIAOMI bestreitet diese Vorwürfe.
Meine Meinung als Autor von Huawei.Blog
Gerne lese ich ja bei solchen Artikeln, dass wir als Huawei.Blog uns schützend vor HUAWEI werfen würden. Das sehe ich etwas anders.
Ich bin persönlich sicher nicht mit allem einverstanden, wie das politische System in China agiert. Und auch aus euren Kommentaren lese ich, dass vielen dies ebenso geht.
Wenn aber – ganz im Stile des guten alten Gut-vs-Böse-Denkens – mit aufregenden Überschriften scheinbar bewusst Stimmung gemacht werden soll, dann haben wir uns schon vor Jahren dazu entschieden, hier die Hintergründe und FAKTEN klar aufzuzeigen.
Es steht dann natürlich jedem weiterhin frei sich (s)eine ganz eigene Meinung zu bilden – das sollte sogar jeder tun. Aber gerade diejenigen HUAWEI Nutzer, die durch solche Überschriften immer wieder verunsichert werden, bekommen so einen besseren Hintergrund und können sich – wie in diesem Fall – dann doch wieder beruhigt zurücklehnen.
Hallo Marco,
ich habe auf meinen Huawei Geräten (Pro40 5G und matepad pro mit HarmonyOS) folgendes Phänomen beobachtet. Bei keinem der Geräte greift mein Pihole im Heimnetzwerk. Nach wein wenig Recherche (Termux installiert und DNS-Server abgefragt) ergibt sich da folgendes Bild.
Beide Geräte haben „hard-coded“ DNS-Server hinterlegt die fleißig an 8.8.8.8 funken.
Einzige Möglichkeit die Geräte „werbefrei“ zu betreiben ist in meinem Fall via VPN (nutze da RethinkDNS)
Finde ich als User jetzt bedenklicher als die aufgeführten Themen.
Es werden leider medial aus Banalitäten „Skandale“ gemacht. Im konkreten Fall wird mit Überschriften rund um schwere Sicherheitsbedenken auf Leserfang gegangen, obwohl es letztlich nur darum geht, dass in der AppGallery eine (optionale) Weiterleitung zu anderen Quellen angeboten wird. Und diese Quellen werden – und auch nicht von jedem(!) – als potentiell gefährlich eingestuft.
„Sturm im Wasserglas“ nenne ich das, nicht mehr.
Bei dem Beispiel was Du jetzt ansprichst geht es ja auch weniger um ein HUAWEI-spezifisches Thema oder gar Sicherheitsproblem. Der pihole soll Werbung auf allen geräten im Netzwerk unterdrücken. Das geschieht natürlich sehr zum Leidwesen derer, die Werbung anbieten wollen. Deshalb ist es inzwischen bei diversen Geräten – vor allem auch SmartTVs, Konsolen & Co. – so, dass es die hard-coded DNS Server gibt.
Meines Erachtens ist gerade der AppGallery nicht zu vertrauen.
Z
Tummelt sich dort doch mehr als nur eine fragwürdige App mit zumindest gefälschter AppID, die sich dann auch mit einer höheren Versionsnummer als „Update“ zur originalen Version, die man vom rechtmäßigen Entwickler z.B.im Playstore findet, ausgibt – aber einen komplett anderen Developper in den Angaben stehen hat, meist ein asiatischer Name, natürlich dann auch ohne jegliche weitere Email- oder sonstige Kontaktadresse /Homepage.
Und auf eine Meldung solcher Apps tut Huawei – genau – GAR NICHTS. Sowohl im EN, als auch im DE Forum erfolgte trotz mehrfacher Nachfrage und teilweise sogar initialer „Reaktion“ eines Support Bots nichts mehr, außer totenstille und den beliebten Spielchen, um unliebsame Threads zu „verstecken“, indem die üblichen Verdächtigen mittels sinnloser „Ein-Smiley-Posts“ alte threads nach oben holen, um den unerwünschten aus der Recent-Liste zu bekommen.
Und der Oberbrüller bei der Sache ist, dass es in der AppGallery als wohl einzigem größeren Store KEINERLEI REPORTMÖGLICHKEIT für gefälschte/virenverseuchte oder Sonst wie illegale Apps gibt!?!
Wahrscheinlich erwartet man in China überall ein derart blindes Vertrauen, wie das manche hier an den Tag legen.
Hat keiner Lust, das mal zu erklären?#huaweiblogerklärt
Ich finde das doch sehr bedenklich, so wird aus der AppGallery nämlich leicht eine CrackGallery.
Und wenn Ihr schon dabei seid, könntet Ihr vielleicht auch mal die merkwürdige Sache mit der Diskrepanz des vorgeblichen Sicherheitspatch-Levels zum im offiziellen Android Systemeintrag hinterlegten erklären. Da sind GMS Geräte ja immer noch bei 08/2020.
Auch da täte etwas Aufklärung schon gut (welche man seitens Huawei selbst in ihren offiziellen Foren schuldig bleibt) .
Was willst Du noch erklärt haben von uns?
Wir haben zu dem Thema, welches medial für Aufmerksamkeit sorgte mit diesem Artikel ausgiebig erklärt.
Die von Dir aufgeworfenen Vorwürfe waren nicht Bestandteil der bisherigen Kritik von Sicherheitsinstitutionen.
Und das Du im HUAWEI Forum kein Gehör findest, dafür können wir nun wirklich nichts.
Als persönliche Anmerkung erlaube ich mir aber zu sagen, dass es meist hilfreich ist, wenn Kritik sachlich und möglichst konstruktiv vorgetragen wird. Reines „Poltern“ in möglichst vielen Beiträgen und Kommentaren führt eher weniger zum Ergebnis. Das sagt die Erfahrung aus inzwischen 13 Jahren Foren-/Community-Manager.
Wo war da „Poltern“?
Im Gegensatz zu Deinem doch eher persönlichen, leicht „beleidigten“ Post sind das sind sachliche und auch nachprüfbare Dinge, die ich angesprochen habe. Lies Dir den Beitrag vielleicht einfach nochmal durch 😉
Von Huawei wird das totgeschwiegen, wie halt so vieles.
Nachdem IHR Euch aber ja offenbar verpflichtet fühlt, in Punkt Sicherheitsbedenken „Aufklärung“ zu betreiben, fände ich es nur angemessen, dies dann auch umfassend zu tun.
Und da gibt es neben den Verweisen aus der AppGallery auf Drittseiten (die ich entgegen dieses Artikels im übrigen auf dem Mate 20 Pro auch standardmäßig bekomme, ohne dies explizit aktiviert zu haben) eben schwerwiegendere Sicherheitsprobleme in der AppGallery selbst.
Zu Deiner Frage also nochmal im einfach verständlichen Klartext: Ich möchte erklärt haben, wie man einem Appstore außerhalb des Playstore vertrauen soll, wenn es da keinerlei Meldemöglichkeit für dubiose Software gibt und zudem der Betreiber selbst auch bei Meldungen in seinen Foren überhaupt nicht reagiert.
Und auch wenn Ihr das selbst bisher nicht auf dem Schirm gehabt haben solltet, so wurde es Euch nun als Anregung für eine Nachforschung gegeben.
Ich habe die Hintergründe zu dem „medialen Aufreger“ im Artikel klar und deutlich erklärt. Dies hast Du ja – so lese ich es aus Deinen Kommentaren heraus – auch verstanden.
Das Du weitere Aspekte für erklärungswürdig hältst sei Dir unbenommen. Nur darfst Du nicht erwarten, dass dies andere in der gleichen Form tun.
Abgesehen davon sind das Fragen, die Du in erster Linie HUAWEI stellen musst. Die Tatsache, dass Du da keine Antworten erhältst ist seitens Kundenbetreuung definitiv unschön, aber da können wir ja nichts für.
Zu Deiner konkreten Bitte an mich/uns:
„Ich möchte erklärt haben, wie man einem Appstore außerhalb des Playstore vertrauen soll, wenn es da keinerlei Meldemöglichkeit für dubiose Software gibt und zudem der Betreiber selbst auch bei Meldungen in seinen Foren überhaupt nicht reagiert.“
Diese Frage lässt sich nicht so beantworten. Mir fehlen dafür klare Angaben und Nachweise zu dieser von Dir angesprochenen „dubiosen Software“.
Wir bei Huawei.Blog haben die grundsätzliche Einstellung, dass wir FAKTEN ermitteln und bewerten. Dies ist aus unserer Sicht ein Mehrwert gegenüber der landläufigen „schnellen Berichterstattung“, die oft mit Clickbait-Überschriften und wenig hilfreichem oder gar irreführendem Inhalt aufwartet.
Da es hierzu aber keine FAKTEN gibt, erübrigt sich der Rest.
Gerne kannst Du uns aber die aus Deiner Sicht relevanten FAKTEN und Beispiele zukommen lassen.
Allerdings sollte Dir auch klar sein, dass kein App-Store zu 100% vor Malware & Co. gefeit ist. Immer wieder muss das auch Google mit seinem offiziellen App Store feststellen. Als Beispiele nenne ich einfach mal folgende 3 Artikel aus den letzten Monaten:
– https://www.connect.de/news/android-app-malware-play-store-banking-trojaner-3201501.html
– https://www.connect.de/news/android-malware-joker-google-play-store-apps-3201726.html
– https://www.focus.de/digital/handy/vermeidung-von-malware-malware-im-google-play-store-fake-apps-selbst-erkennen_id_13186869.html
Wo ich Dir recht gebe ist natürlich die konstruktive Kritik, dass eine „Melden“-Funktion in der AppGallery sicher auch hilfreich für genau diese Fälle wäre.
Für zwei Beispiele von Apps, die sich mit gefälschter App ID als Update einer anderen App – von einem völlig anderen Entwickler – ausgeben, siehe diesen Thread (und nein, der ist nicht von mir):
https://consumer.huawei.com/en/community/details/Malware-in-AppGallery/topicId_162857/postId_914174/
Aus eigener Erfahrung auch die „Manuelle Kamera App“, siehe hier das Original:
https://play.google.com/store/apps/details?id=com.lensesdev.manual.camera.pro&hl=en_US&gl=US
und hier dann das „Plagiat“ in der AppGallery:
https://appstore.huawei.com/app/C102306995
Komplett anderer Entwickler, natürlich ohne Kontakt-Email oder Webseite.
Und man schaue auf den Preis. Im besten Fall hat hier einer nur die App geklaut und will mit fremdem Eigentum schnelles Geld machen, im schlimmeren Fall bekommt man bei der App dann noch ein paar „Goodies“ dazu, für die man nicht bezahlt hat.
Und ja, kein AppStore ist vor Malware gefeit, genau deswegen ist ja eine „Melden“ Funktion unerlässlich.
Auch wenn man die Gründlichkeit der Eingangskontrolle bedenkt, man erinnere sich an die „Minecraft“ App (nur ein verkappter Link zu einer kaum spielbaren Webseite), die da einige Zeit lang in der AppGallery zu finden war.
Nur damals konnte man solche Apps noch melden, diese Funktion wurde also bewußt gestrichen. Warum?
Danke für die Beispiele.
Überprüfen kann ich die Vorwürfe inhaltlich leider nicht abschließend.
Bzgl. der Melden Funktion hatte ich ja bereits gesagt, dass auch ich diese für sinnvoll erachte. Und in diesem Kontext finde ich das Community Management in dem von Dir verlinkten Forenbeitrag wirklich absolut schlecht.
Wieder ein guter Bericht. Danke Marco.
Vielen Dank für das Feedback!
Bitte informiert euch doch mal genauer.
Die Blacklist im Browser ist dafür das keine unerwünschte Werbung geschaltet wird.
So kommt zb im Browser keine Werbung von anderen Handy Hersteller.
Das ist aber ganz normal und üblich.
Solch eine Blacklist kommt auch bei Huawei Apps vor. Startet mal die App Gallery,My Huawei,Video oder Musik Player. Da kommt ja auch immer Werbung oder Empfehlungen. Die müssen ja auch gefiltert werden.
Kein Hersteller will das auf seiner Seite Werbung geschaltet ist das für ein anderen Hersteller wirbt.
Genau so wird keine Werbung von Pornographie, Gewalt usw gezeigt. Selbst ein Altersfilter ist nichts anderes.
Hauptsache wir vertrauen den amerikanischen Unternehmen!!!
Google, Apple, Facebook,WhatsApp usw. wollen ja alle das wir „sicher“ sind und uns keine Sorgen machen müssen!
Oder vielleicht doch???
NEIN, die spionieren uns nicht aus, da läuft alles sauber ab!!!
XDA Developers hat ein wenig nachgeforscht und zu der Sache mit Xiaomi einen sehr guten Artikel verfasst: https://twitter.com/xdadevelopers/status/1440911606574206976?s=19
Ich kann mir leider gut Vorstellen das es so stimmt.
Weshalb soll die Litauerisches staatliches Zentrum für Cybersicherheit sowas sagen?
Da wird schon was dran sein.
Ich selber nutze nie den Huawei Webbrowser sondern Firefox bzw. Chrome.
Seitdem Huawei mit den USA Probleme hat, kann es ja auch JEDEN anderen Hersteller so hart treffen, Xiaomi, Oppo, Vivo, OnePlus etc.
Ich selber bin mal gespannt wann Huawei hier in Europa bzw. in Deutschland Harmony OS 2.0 freigibt.
Ob es wirklich auch hier in Europa so einen großen Erfolg wie in China hat wage ich stark zu bezweiflen.
Dennoch werden ich mich ab nächstem Jahr dauerhaft von Chinesischen Smartphone dauerhaft distanzieren.
Huawei ist für mich nicht mehr ein Vertrauenwürdiger Smartphone Hersteller, Updates werden zu langsam ausgerollt, Google Dienste gibt es nicht mehr, und die Zukunft von Huawei ist in meinen Augen auch ungewiss.
Ja ja ich weiß, die böse US Regierung ist daran schuld.
Lasst die Finger von China Smartphones, besonders auch bei Importierten Geräten.
Deine Frage:
Weshalb soll die Litauerisches staatliches Zentrum für Cybersicherheit sowas sagen?
Antwort im Artikel:
siehe politische Hintergründe!
Zudem geht es nicht um Webbrowser, oder Backdoors in der Firmware, sondern explizit nur um den Verweis in der AppGallery auf externe Download-Quellen. Die man übrigens nicht machen muss und die auch nicht automatisch gemacht werden.
Danke Marco.