Bericht: Xiaomi-Smartphones spionieren ihre Benutzer aus
Browserverlauf, Apps, Musik: Zwei Security-Spezialisten haben aufgedeckt, dass Smartphones von Xiaomi das Benutzerverhalten aufzeichnen und weiterleiten.
(Bild: deepadesigns/Shutterstock.com)
Dem chinesischen Smartphone-Hersteller Xiaomi wird vorgeworfen, das Verhalten seiner Benutzer aufzuzeichnen und die Daten an eigene Server zu übertragen. Insbesondere gilt das für das Surfen im Web: Der Xiaomi-Browser zeichnet offenbar jede besuchte Website samt Eingaben in eine Suchmaschine auf, und das sogar im Inkognito-Modus. Das gleiche Phänomen tritt auch bei anderen Browser-Apps von Xiaomi im Play Store auf, berichtet das Magazin Forbes.
Besuchte Websites aufgezeichnet
Der IT-Sicherheitsspezialist Gabriel Cîrlig deckte auf, dass sein Smartphone Redmi Note 8 bei Verwendung des Standard-Browsers von Xiaomi jede besuchte Website an einen beim Internetkonzern Alibaba gehosteten Server des Herstellers in China übermittelte. Übertragen wurden auch Eingaben in Suchmaschinen, etwa bei Google und Duck Duck Go. Dieses Verhalten änderte sich nicht, wenn der Browser im – eigentlich für maximale Privatsphäre gedachten – Inkognito-Modus betrieben wurde, heißt es in dem Forbes-Artikel.
Dabei werden in allen untersuchten Fällen zusätzlich Angaben zum Smartphone, zur Android-Version und eine stets gleichbleibende Nutzerkennung übertragen. Mit solchen Metadaten, fürchtet Cîrlig, könnten Benutzer eindeutig identifiziert werden. Außerdem meldete sein Smartphone weitere Aktionen an den Hersteller, etwa welche Ordner er öffnete sowie das Wischen über den Bildschirm und das Öffnen einer App. Auch die Musik-App von Xiaomi soll die gespielten Titel samt Zeitstempel übertragen haben.
Womöglich mehr Modelle betroffen
Cîrlig vermutet, dass auch andere Smartphone-Modelle des Herstellers betroffen sind, denn die Firmware für Mi 10, Redmi K20 und Mi MIX 30 sollen den gleichen Browsercode enthalten. Damit könnten Millionen Smartphone-Benutzer weltweit betroffen sein. Laut Cîrlig geht diese Datensammlung deutlich über die gängige Erhebung von App-Telemetriedaten zur Unterstützung der Softwareentwickler hinaus und stellt eine Verletzung der Privatsphäre der Benutzer dar.
Forbes bat auch den IT-Sicherheitsspezialisten Andrew Tierney um weitere Untersuchungen. Tierney fand heraus, dass zwei Browser-Apps von Xiaomi in Googles Play Store, Mi Browser Pro und Mint Browser, ein vergleichbares Verhalten zeigen. Laut Google-Statistik sollen die Apps über 15 Millionen Mal heruntergeladen worden sein.
Hersteller widerspricht – und lenkt ein
Xiaomi verteidigte sein Vorgehen in einer Stellungnahme gegenüber Forbes und nannte die Anschuldigungen zunächst unzutreffend; Privatsphäre sei für das Unternehmen sehr wichtig und man halte sich an alle gesetzlichen Bestimmungen in einem Land. Ein Unternehmenssprecher bestätigte jedoch, dass die Daten gesammelt würden, sie seien jedoch anonymisiert und der Benutzer habe der Datenerhebung zugestimmt. Xiaomi blieb dabei, dass im Inkognito-Modus keine Daten übertragen werden, was jedoch den unter anderem per Video dokumentierten Entdeckungen von Cîrlig und Tierney widerspricht.
Der chinesische Hersteller reagierte anschließend in einem ausführlichen Blogbeitrag auf die Vorwürfe. Dort verweist das Unternehmen in einem Zusatz vom 3. Mai auf in Kürze erscheinende Updates der beiden Browser-Apps (Mint Browser, Mi Browser), in denen Benutzer im Inkognito-Modus eine Opt-out-Möglichkeit für die Datenübertragung an den Hersteller erhalten sollen. Damit würde das Unternehmen "die Kontrolle der Nutzer über das Teilen ihrer Daten weiter stärken".
v
Verschlüsselung, Tokens, Browser-History
Weiterhin betont Xiaomi in dem Beitrag, man sammle Daten nur mit ausdrücklicher Zustimmung des Benutzers, die Daten seien anonymisiert und die Übertragung per TLS 1.2 verschlüsselt. Die Browser-URL werde aufgezeichnet, um langsam ladende Websites zu identifizieren; das helfe beim Verbessern der Browser-Performance. Der 'unique token', mit dem die Nutzungsdaten aggregiert würden, werde per Zufallswert erzeugt und sei nicht einem Benutzer zuzuordnen (auf Cîrligs Verweis, diese UUID bleibe immer gleich, geht der Blogbeitrag nicht ein).
Das explizite Übertragen der Browser-History nennt der Hersteller "Data-Sync"-Funktion, die unter zwei Bedingungen aktiv sei: Der Benutzer müsse mit einem Mi-Konto angemeldet und diese Funktion in den Einstellungen eingeschaltet sein. Im Inkognito-Modus sei diese Sync-Funktion nicht aktiv, jedoch würden weiterhin "statistische Nutzungsdaten" übertragen, worunter auch die URL fällt.
(tiw)
