Advertentie

Staatsveiligheid waarschuwt voor Chinese smartphones

Xiaomi zou eind vorig jaar al zijn doorgestoten tot het op twee na - Samsung en Apple - grootste smartphonemerk in ons land. ©REUTERS

De smartphones van de Chinese bedrijven Xiaomi, Oppo en OnePlus zijn sterk in opmars in ons land, maar de Staatsveiligheid waarschuwt voor het risico op spionage. Er is volgens de inlichtingendienst een ‘systematische en diepgaande vermenging tussen die bedrijven en de Chinese overheid’.

Almaar meer Belgen hebben een smartphone van Xiaomi, Oppo of OnePlus, zeker sinds die andere Chinese fabrikant Huawei door Amerikaanse sancties niet meer met het Android-besturingssysteem van Google mag werken en sterk marktaandeel verliest. Xiaomi zou eind vorig jaar al zijn doorgestoten tot het op twee na - Samsung en Apple - grootste smartphonemerk in ons land. Dat succes kan leiden tot de aankoop van andere digitale producten van dezelfde Chinese merken.

In principe kan er spionagesoftware zitten in de ingebouwde apps of het beheerssysteem die deze Chinese smartphone-toestellen gebruiken.
Bart Preneel
Hoofd van de onderzoeksgroep Computer Security and Industrial Cryptography ­(COSIC) van de KULeuven

Maar in een antwoord dat N-VA-Kamerlid Michael Freilich kreeg van minister van Justitie Vincent Van Quickenborne (Open VLD) waarschuwt de Staatsveiligheid voor de nieuwe generatie Chinese smartphones. ‘We willen wijzen op de potentiële spionagedreiging bij het gebruik van deze toestellen’, zegt Ingrid Van Daele, de woordvoerster van de Staatsveiligheid. De dienst waarschuwt voor de Chinese smartphones, ook al heeft hij nog geen concrete gevallen van spionage vastgesteld. ‘We adviseren om waakzaam te zijn. Naast de vermenging tussen die bedrijven en de Chinese overheid hebben ook al andere landen (zoals Nederland en de VS, red.) hun bezorgdheid geuit over Chinese telecombedrijven en de risico’s qua privacy en nationale veiligheid.’

Verankerd

De verwevenheid van die Chinese fabrikanten met de Chinese overheid en haar inlichtingen- en veiligheidsdiensten is zelfs juridisch verankerd’, zegt de Staatsveiligheid. ‘De Chinese nationale inlichtingenwet verplicht alle Chinese bedrijven tot samenwerking met de inlichtingendiensten. Ze moeten arbeidsposities reserveren voor inlichtingenpersoneel. Ook verplicht de Chinese cybersecuritywet Chinese bedrijven de inlichtingendiensten een ongebreidelde toegang te geven tot hun IT-systemen. Het bedrijfsleven heeft geen andere keuze dan samen te werken met de Chinese overheid.’

‘Van de smartphoneproducent Xiaomi is bekend dat hij in het buitenland op heimelijke wijze gebruikersgegevens heeft verzameld en doorgestuurd naar
Chinese servers’, luidt het. ‘Uit een mediarapportage van mei 2020 bleek dat zowel gegevens over het surfgedrag als de ‘universally unique identifier’ van Xiaomi-gebruikers werd verzameld. Die data zijn met een eenvoudig te omzeilen encryptie naar China verstuurd. Samen met het wetgevende kader waarin Xiaomi
opereert, is die praktijk op zijn minst problematisch te noemen vanuit een privacystandpunt en raakt ze mogelijk aan de nationale veiligheid.’

N-VA-Kamerlid Michael Freilich verwijt de regering dat ze 'minder dan het minimum' doet met de waarschuwing van de Staatsveiligheid. 'Als ik deze kwestie niet had voorgelegd in een parlementair antwoord zou de analyse van de Staatsveiligheid niet eens publiek zijn gemaakt.' ©BELGA

‘Bedrijven van het formaat van Huawei, Xiaomi, Oppo en OnePlus hebben een partijcomité van de Chinese Communistische Partij (CCP) binnen het bedrijf. De taak van zulke partijcellen is ervoor te zorgen dat de beleidslijnen van de CCP ook door het bedrijf worden gevolgd. Ze kunnen invloed uitoefenen op de beleidsbeslissingen van de bedrijven.’

De Belgische woordvoerder van Oppo Dries Cludts stelt dat ‘Oppo een privébedrijf is en actief is in meer dan 40 landen en regio’s over de hele wereld’. ‘We onderhouden positieve relaties met de overheden en regelgevende instanties van de landen waarin we actief zijn. We opereren in overeenstemming met alle plaatselijke wetten en regulering.’

OnePlus en Xiaomi reageerden initieel - ondanks aandringen - niet op onze vragen. Maar op 5 augustus kreeg de redactie toch deze reactie toegestuurd van Erwin van der Valk, marketingtopman van Xiaomi Technology Benelux. 'Xiaomi is een beursgenoteerd en onafhankelijk opererende en gemanaged bedrijf, opgericht door privépersonen. Wij zijn actief op 11o markten in de wereld en volgen de plaatselijke wetten en regels met hoge standaarden que veiligheid, privacy en gebruikersdatabescherming. De beschuldiging van een 'potentiële spionagegevaar', geuit door de Belgische Staatsveiligheid, is niet opf eiten gebaseerd, maar een louter vooroordeel.'

'Heel weinig tegen doen'

Bart Preneel ©KU Leuven

‘In principe kan spionagesoftware zitten in de ingebouwde apps en het beheersysteem die die Chinese smartphones gebruiken', zegt Bart Preneel, hoofd van de onderzoeksgroep Computer Security and Industrial Cryptography ­(COSIC) van de KU Leuven. 'Je kan als gebruiker de ingebouwde apps in de toestellen blokkeren, om geen risico te lopen. Maar tegen spionagesoftware in het beheersysteem kan je heel weinig doen. Dat is ook voor elk model anders en bij veiligheidsupdates kan er plots toch een achterpoortje bijzitten.’

‘Er zijn echter nog maar heel weinig harde feiten aan het licht gekomen over mogelijke spionage door zo'n Chinese technologie', zegt Preneel. 'Het is moeilijk in te schatten wat we daaruit moeten concluderen. Je kan stellen dat ook Google of Apple een risico kan vormen voor spionage, al zijn er misschien redenen om bezorgder te zijn over de Chinese dan over de Amerikaanse overheid. Harde bewijzen om mensen af te raden die toestellen te gebruiken heb je niet. Journalisten die over China schrijven, zou ik wel aanraden het best geen Chinees toestel te gebruiken.’

TIKTOK: 'Niet zonder risico'

De Staatsveiligheid heeft nog geen gevallen van spionage kunnen vaststellen met de populaire Chinese app TikTok. ‘Voor zover gekend is er in de software ook geen expliciete spionagesoftware verwerkt’, besluit de inlichtingendienst. Toch raadt de Staatsveiligheid aan om TikTok niet te installeren op apparaten die je professioneel gebruikt of waar gevoelige informatie staat. In het algemeen raadt de dienst aan om daarop geen enkele app te installeren die je niet echt nodig hebt. Maar dat geldt dus zeker voor Chinese apps, stelt de Staatsveiligheid: ‘TikTok is als social media platform in handen van het Chinese bedrijf ByteDance. Dit bedrijf is dus onderworpen aan de Chinese compliance-regels met betrekking tot de toegang van de Chinese overheid tot de data verzameld door ByteDance. TikTok is niet beschikbaar in China en de data worden volgens ByteDance ook niet opgeslagen in China. Maar in de gebruiksvoorwaarden van TikTok wordt wel degelijk vermeld dat de data gedeeld mogen worden binnen de groep.’

Waarom heeft de Staatsveiligheid de Chinese smartphones waarvoor ze waarschuwt nog niet diepgaand geanalyseerd? Woordvoerster Ingrid Van Daele: ‘We maken een onderscheid tussen structurele beleidsbeslissingen, zoals de beslissing om al dan niet 5G te gebruiken, waarbij we een analyse hebben gemaakt op vraag van de overheid. Hier gaat het echter om toestellen waar de burger een individuele keuze kan maken of hij die gebruikt. Dan is het onze rol om te sensibiliseren.’

‘Als we concrete aanwijzingen hebben van spionage op zulke toestellen in een welbepaald dossier, zal dat wel deel uitmaken van ons onderzoek. Dat behoort tot onze prioriteiten, die onlangs zijn goedgekeurd op politiek niveau. Maar een onderzoek naar offensieve cyberstrategieën zonder concretere indicaties valt niet onder die prioriteiten.’

‘De Belgische veiligheidsdiensten hebben niet de middelen om die toestellen te analyseren', zegt Preneel. 'Ons lab doet wel studies over hoe apps of bibliotheken persoonlijke informatie verzamelen voor commerciële doeleinden. Maar je moet de beperkte middelen bundelen en dat soort toestellen op Europees niveau analyseren. Dan kan je verder opvolgen wat er gebeurt bij updates. Het heikele punt is dat de EU-lidstaten daarbij niet alles met elkaar delen en de grote lidstaten hun eigen systemen hebben.’

ALIBABA: 'Spionnen in Luik'

In mei berichtte De Tijd dat de Staatsveiligheid waarschuwt voor het spionagegevaar bij de aanwezigheid van de Chinese e-commercegigant Alibaba in de luchthaven in Luik. In 2018 heeft Alibaba de vrachtluchthaven van Luik uitgekozen als zijn toegangspoort tot Europa. Aan de noordzijde bouwt Cainiao, de logistieke poot van de Chinese groep, een logistiek centrum van 30.000 m² dat dit jaar klaar moet zijn. Alibaba is volgens de Staatsveiligheid verplicht in zijn bedrijf posten te voorzien voor Chinese inlichtingenofficieren. ‘Via het dochterbedrijf van Alibaba in Luik kunnen agenten van de Chinese inlichtingendiensten toegang krijgen tot de gevoelige en beveiligde zones van de luchthaven’, luidde het. ‘Alibaba moet ook gehoorzamen aan het Chinese veiligheidsapparaat als dat toegang wil tot - potentieel gevoelige - commerciële informatie en persoonsgegevens die Alibaba bezit door zijn activiteiten in Luik.’

N-VA roept op tot actie

N-VA-Kamerlid Michael Freilich verwijt de federale regering dat ze te loom reageert op de waarschuwing van de Staatsveiligheid. ‘Het is niet aan de Staatsveiligheid beleid te maken. Maar als een inlichtingendienst dat meldt, moeten politici actie ondernemen. De regering doet nu minder dan het minimum. Ze heeft hier zelfs nooit over gecommuniceerd. Als ik die kwestie niet had voorgelegd in een parlementair antwoord, zou de analyse van de Staatsveiligheid niet eens publiek zijn gemaakt. Natuurlijk is het onze individuele keuze welke smartphone of app we gebruiken, maar elk individu werkt voor een bedrijf, een overheidsdienst, een instelling, een politieke partij... Dan maakt het wel uit welk toestel iemand gebruikt en of er een risico is.’

Freilich roept de regering op de Staatsveiligheid, de militaire inlichtingendienst en het antiterreurorgaan OCAD een lijst te laten samenstellen van buitenlandse leveranciers van digitale producten die ze als ‘hoogrisicoleveranciers’ bestempelen. Vorige week was er ophef over de spyware Pegasus van een Israëlische firma NSO Group waarmee smartphones werden bespioneerd. ‘In samenspraak met de deelstaten kunnen we dan een verbod instellen voor de federale en regionale overheidsdiensten, het leger, kritieke bedrijven en hun partnerbedrijven om die te gebruiken. Hun personeel zou tijdens de werkuren zijn privétoestel in bewaring kunnen geven in een afgesloten ruimte. En laten we de lijst van hoogrisicoleveranciers publiek maken voor elke consument.’ Freilich heeft daarover een voorstel tot resolutie ingediend in de Kamer samen met zijn partijgenoten Joy Donné en Theo Francken. 'Dat willen we na het zomerreces agenderen. Dit is te belangrijk voor ons om op de lange baan te schuiven.’

NUCTECH: 'Geen veiligheidsrisico'

De Chinese leverancier van scanners Nuctech levert toestellen aan de Algemene Administratie van de Douane en Accijnzen, terwijl in verschillende landen waaronder ook België in februari ophef ontstond over de spionagerisico’s. De Belgische douane gebruikt een Chinese Nuctech-scantunnel in de haven van Antwerpen en drie mobiele cargoscanners in Antwerpen, Zeebrugge en Houdeng-Goegnies. Naast drie scanvans in de luchthavens van Zaventem en Bierset en vijf vaste bagage- en pakjesscanners in Zaventem, Bierset, Deurne, Gosselies en Oostende. Maar de regering heeft ‘geen enkele aanwijzing dat de Nuctech-scanners bij onze douane een veiligheidsrisico vormen. De Belgische douane heeft alleen standalonescansystemen. Er zijn in die scanapparatuur geen zendbronnen teruggevonden die ongewild data kunnen doorsturen.’ Het onderhoudspersoneel wordt niet gescreend door de Staatsveiligheid. De douane overlegt wel met de Staatsveiligheid over het ‘veiligheidsprofiel’ van Nuctech, luidt het.

Lees verder

Advertentie
Advertentie
Advertentie
Advertentie

Gesponsorde inhoud

Gesponsorde inhoud