© REUTERS / Valentyn Ogirenko

Produkte
05/03/2020

Xiaomi spioniert seine User aus, warnen Experten

Besuchte Websites und eingegebene Suchbegriffe, bis hin zu Wischbewegungen, werden nach Russland übertragen.

IT-Sicherheitsforscher haben eine bedenkliche Entdeckung gemacht. Xiaomi-Smartphones senden umfangreiche Daten der User ins Ausland, berichtet Forbes.

Der Xiaomi Standard-Browser zeichnet jede besuchte Website auf und jede eingegebene Suchanfrage, egal ob in Google, DuckDuckGo oder einer anderen Suchmaschine. Auch jede Nachricht, die im Xiaomi-Newsfeed geöffnet wurde, wird gespeichert. Dies passiert, egal ob den Browser normal oder im Inkognito-Modus nutzt, der eigentlich eine Datenspeicherung verhindern soll.

Zudem fanden die Sicherheitsexperten heraus, dass das Xiaomi-Smartphone aufzeichnet, welche Ordner geöffnet und zu welchem Bildschirm gewischt wird, inklusive der Nutzung der Einstellungen und Statusleiste. Die Daten wurden zu Servern von Alibaba geschickt, allerdings nicht in China, sondern in Singapur und Russland.

Daten können Personen zugeordnet werden

Laut den Sicherheitsforschern werden die Daten nur schlecht gesichert übertragen. Innerhalb weniger Sekunden konnte die Base64-Verschlüsselung geknackt werden. Weil mit den Daten auch Gerätenummern übertragen werde, sei es sehr einfach, diese bestimmten Personen zuzuordnen. Es sind also keine anonymisierten Daten.

Auch der Xiaomi Standard-Browser und Xiaomis Mint Browser, die im Play Store zu finden sind, zeichnen diese Daten auf. Beide zusammen wurden über 15 Millionen Mal heruntergeladen. Außerdem besteht der Verdacht, dass Xiaomi die App-Nutzung der User trackt. Denn jedes Mal, wenn eine beliebige App auf dem Smartphone geöffnet wird, werden Daten an die Alibaba-Server übertragen. Was diese Daten enthalten, konnten die Forscher aber noch nicht feststellen.

Betroffene Xiaomi-Smartphones

Entdeckt wurde die Datensammlerei auf einem Xiaomi Redmi Note 8. Die dort genutzte Firmware kommt auch bei vielen anderen Handys zum Einsatz, wie dem Xiaomi Mi 10, Xiaomi Redmi K20 und Xiaomi Mi MIX 3. Die IT-Experten gehen davon aus, dass diese Geräte dieselben Daten sammeln und ins Ausland übertragen.

Xiaomi weist die Vorwürfe zurück. In einem ersten Statement gegenüber Forbes bezeichnete man die Entdeckungen der Forscher als „unwahr“. Gleichzeitig sagte das Unternehmen, dass Daten anonymisiert gesammelt werden und man dazu die Einwilligung der User habe. Und obwohl die Forscher handfeste Beweise vorlegten, sagte Xiaomi, dass im Inkognito-Modus keine Browser-Daten gespeichert werden.

Xiaomi rechtfertigt sich

Nach dem Erscheinen des Forbes-Artikels hat Xiaomi einen Blogeintrag veröffentlicht. Man fühle sich missverstanden und Forbes habe die Fakten missinterpretiert. Sicherheit und Privatsphäre der User seien eine Top-Priorität.

In einem Update des Blogeintrags scheint sich Xiaomi etwas beruhigt zu haben. Man sei dankbar für die Arbeit der Sicherheitsforscher und die konstruktiven Diskussion. Zuvor hatte man diese noch bezichtigt, Unwahrheiten zu verbreiten.

Außerdem werde man in den nächsten Versionen des Standard-Browsers und Mint Browsers eine Option inkludieren, um das Sammeln von Daten im Inkognito-Modus zu deaktivieren. Zuvor hatte Xiaomi noch gemeint, dass im Inkognito-Modus keine Daten gesammelt werden. Abgesehen davon, ist die ganze Idee des Inkognito-Modus, dass keine Daten aufgezeichnet werden: Der User sollte die Datenaufzeichnung in diesem Modus nicht erst deaktivieren müssen.