Werbung
DOOM Eternal für den PC als Exklusiv-Edition inklusive Metal Plate oder Deluxe Edition


Xiaomi bespitzelt seine Kunden

Meldung von doelf, Montag der 04.05.2020, 12:43:22 Uhr

Das Wirtschaftsmagazin Forbes und der Sicherheitsexperte Gabriel Cirlig erheben schwere Vorwürfe gegen Xiaomi. Der insbesondere für seine Smartphones bekannte Hersteller aus China soll die Nutzer seiner Geräte mittels vorinstallierter Apps bespitzeln und die gesammelten Daten auf chinesische Server übertragen. Xiaomi bestreitet diese Vorwürfe und verweist auf die Nutzungsbedingungen für seine Geräte und Apps.

Xiaomi mag hierzulande als Markenname noch nicht allzu bekannt sein, doch die chinesische Firma ist mit einem Marktanteil von 8,9 Prozent im vierten Quartal 2019 (Quelle: IDC) der viertgrößte Smartphone-Hersteller der Welt. Nur Apple, Samsung und Huawei halten größere Marktanteile. Die Vorwürfe wiegen schwer, denn schon 2014 wurde Xiaomi beim Datensammeln ertappt und hatte seine Cloud-Dienste als Ausrede angeführt. Im August 2014 wurde diese Praxis, die auch vor Fotos, SMS und E-Mails nicht halt machte, beendet. Zudem muss Xiaomi einen unberechenbaren US-Präsidenten fürchten, der sich mit ZTE und Huawei bereits zwei Telekommunikationsgrößen aus dem Reich der Mitte vorgeknüpft hat.

Xiaomis Browser-Wanzen
Cirlig bezeichnet sein Redmi Note 8 scherzhaft als "Backdoor mit Smartphone-Funktionen". Wirklich witzig sind seine Entdeckungen allerdings nicht, denn ein großer Teil der Nutzerinteraktionen wird von diesem Telefon an Server des chinesischen Internetgiganten Alibaba übertragen. Der wichtigste Datensammler ist dabei der vorinstallierte Mi Browser, welcher die URLs aller aufgerufenen Webseiten inklusive der dort getätigten Eingaben wie z.B. Suchanfragen nach China meldet. Dabei macht es keinen Unterschied, ob man den Incognito-Modus des Browsers verwendet oder nicht. Die Browser-Apps Mi Browser Pro und Mint Browser, welche Xiaomi über Googles Play Store vertreibt, verfahren ebenso, wie der Sicherheitsexperte Andrew Tierney herausfinden konnte. Auch Xiaomis Newsfeed- und Music-Player-Apps entpuppten sich als überaus mitteilsam.

Der Mi Browser gehört zum stark modifizierten Android-Derivat MIUI (XiaoMI User Interface), welches der chinesische Hersteller auf seinen Smartphones als Betriebssystem installiert. Somit sind neben dem Redmi Note 8 auch viele weitere Geräte des Herstellers betroffen, Cirlig fand den entsprechenden Code beispielsweise in der Firmware der Modelle Xiaomi MI 10, Xiaomi Redmi K20 und Xiaomi Mi MIX 3. Da die Datenpakete nur Base64-kodiert sind, konnte Cirlig sie problemlos in Klartext umwandeln und entdeckte darin auch eindeutige Kennungen, über die sich das Gerät bzw. dessen Nutzer identifizieren lassen. Ein weiterer Wert gibt an, ob eine Webseite normal oder im Incognito-Modus geöffnet wurde. Die Übertragung der Daten findet aber in beiden Fällen statt, weshalb man von Incognito keinerlei Privatsphäre erwarten darf.

Weitreichende Telemetrie-Daten
Hersteller wollen immer gerne wissen, wie ihre Geräte benutzt werden und sammeln hierfür Telemetrie-Daten. Normalerweise wird der Benutzer um seine Zustimmung für die Sammlung und Übertragung solcher Daten gebeten, doch bei Xiaomi scheinen die Nutzungsbedinungen der Geräte ein All-Inclusive-Konzept zu verfolgen. Und so werden nicht nur alle Eingaben in die Browser- und Newsfeed-Apps gesammelt, sondern auch auf welche Ordner der Benutzer zugreift, wann man wischt und was in der Statusleiste oder den Einstellungen geschieht. Die Erhebung von Telemetriedaten kann durchaus sinnvoll sein und lässt sich auch unter Windows 10 nicht gänzlich unterbinden. Dennoch ist es kein gutes Gefühl, wenn einem Xiaomi ständig über die Schulter schaut. Oder die externe Firma Sensors Analytics, mit der Xiaomi zusammenarbeitet.

Xiaomi widerspricht - auch sich selbst
In einer ausführlichen Stellungnahme versucht Xiaomi die erhobenen Vorwürfe zu entkräften und betont, wie es so üblich ist, dass "die Privatsphäre und Sicherheit seiner Kunden für Xiaomi von höchster Priorität seien". Nach Ansicht des Unternehmens haben die Benutzer der Datenerhebung zugestimmt, als sie die Nutzungsbedingungen akzeptierten. Alle Daten würden anonymisiert und verschlüsselt übertragen, gemeint ist hierbei allerdings nur die Transportverschlüsselung TLS 1.2. Nur bei Verwendung eines Mi-Kontos unter Nutzung von Xiaomis Cloud-Diensten müssen die Daten zwangsläufig einem Benutzer bzw. Gerät zugeordnet werden. Im Incognito-Modus werden laut Xiaomi ausschließlich statistische Daten gesammelt.

Cirlig und Tierney können mit Videos allerdings eindeutig belegen, dass selbst im Incognito-Modus Formulareingaben an Xiaomi übermittelt werden. Und das stellt schon generell einen massiven Vertrauensbruch dar. Bei ihren Tests war kein Mi-Konto aktiv und die Synchronisierung der Cloud-Dienste ausgeschaltet, dennoch wurde eine eindeutige Kennung übertragen. Xiaomi hat inzwischen reagiert und seine Browser aktualisiert: Ab dem Mi Browser bzw. Mi Browser Pro 12.1.4 und dem Mint Browser 3.4.3 können die Nutzer die Datensammlung für den Incognito-Modus deaktivieren. Standardmäßig ist die Datensammlung immer aktiv und für den normalen Modus lässt sie sich auch weiterhin nicht abschalten. Nach wie vor behauptet Xiaomi, dass es nur um reine Statistikdaten gehe.

Und was ist mit Android One?
Allerdings gibt es von Xiaomi auch einige Telefone auf Basis von Android One (Xiaomi Mi A1, Xiaomi Mi A2, Xiaomi Mi A2 lite, Xiaomi Mi A3), bei denen ein unverfälschtes Android mitsamt Chrome-Browser vorinstalliert ist. Da auf diesen Smartphones keine der mitteilungsfreudigen Apps installiert ist, dürften Android-One-Nutzer auf der sicheren Seite sein - jedenfalls solange man der vorinstallierten Feedback-App keinen Freibrief erteilt und keine zusätzlichen Xiaomi-Apps aus dem Play Store installiert. In der Vergangenheit hatte Xiaomi einen eigenen Dateimanager neben der Files-App von Google vorinstalliert. Ob diese Daten gesammelt und nach China geschickt hat, ist nicht bekannt. In Android One 10 ist Xiaomis Dateimanager jedenfalls nicht mehr enthalten.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]