Dass mal wieder in irgendeiner App eines chinesischen Herstellers ein Datenleck gefunden wurde, wäre an sich kaum mehr eine Meldung wert. Gerade in Zeiten, in denen vor allem die Videokonferenz-Software Zoom das Thema Datenschutz (und allgemein Kredibilität) negativ spitzenmäßig besetzt.
Doch wenn ein solcher Exklusivbericht des US-Wirtschaftsmagazins Forbes erscheint und es mit Xiaomi um einen der weltgrößten Hersteller aus der Smartphone-Industrie geht, dann hat das nochmal ganz andere Dimensionen.
Demnach hat Cybersecurity-Experte Gabriel Cirlig nämlich ein bemerkenswertes Datenleck auf seinem Xiaomi-Phone gefunden. Mit dem vorinstallierten Browser werden Nutzerdaten gesammelt, zum Beispiel Suchanfragen (egal ob über Google oder DuckDuckGo), besuchte Webseiten (auch im Inkognito-Modus) oder alle angesehenen Inhalte aus dem Newsfeed.
Damit nicht genug: Das Gerät hat sich auch gemerkt und weitergegeben, welche Ordner geöffnet wurden, wie man auf welchem Bildschirm gewischt hat und was man in der Statusleiste oder den Einstellungen angepasst hat. All diese Datenpakete sollen digital verschnürt und auf Server in Singapur und Russland verschickt worden sein. Die hat Xiaomi offenbar von einem der anderen China-Riesen, Alibaba, gemietet.
Experte Cirlig hat diese Entdeckungen auf einem Xiaomi Redmi Note 8 gemacht, doch seiner Meinung nach betrifft es auch viele andere Geräte. Dafür spricht zudem, was Andrew Tierney im Auftrag von Forbes herausgefunden hat.
He also found browsers shipped by Xiaomi on Google Play—Mi Browser Pro and the Mint Browser—were collecting the same data. Together, they have more than 15 million downloads, according to Google Play statistics.
Es betrifft also sogar Menschen, die noch nicht mal ein Xiaomi-Gerät haben. Immerhin, es gibt ohne Xiaomi-Smartphone wenig Gründe, deren Browser zu nutzen (und selbst mit anscheinend nicht).
[appbox googleplay com.mi.globalbrowser]
[appbox googleplay com.mi.globalbrowser.mini]
Blick auf Kameras fremder Nutzer: Xiaomi gesteht Fehler ein und behebt ihn
Konfrontiert mit diesen Vorwürfen reagiert der Konzern natürlich erstmal abwehrend. Datenschutz und Sicherheit stünden an oberster Stelle und die Behauptungen seien alle unwahr. Ein Sprecher habe zwar bestätigt, dass man Browserdaten sammele, allerdings anonymisiert und nur mit dem Einverständnis des Nutzers.
In response to the findings, Xiaomi said, “The research claims are untrue,” and “Privacy and security is of top concern,” adding that it “strictly follows and is fully compliant with local laws and regulations on user data privacy matters.” But a spokesperson confirmed it was collecting browsing data, claiming the information was anonymized so wasn’t tied to any identity. They said that users had consented to such tracking.
Im Inkognito-Modus würde das allgemein nicht passieren. Wofür man den in der Regel benutzt, muss jeder selbst wissen – jedenfalls macht Xiaomi auch nicht vor Pornos halt. Dass und wie diese Daten abgegriffen werden, beweist ein Entwickler eindrucksvoll in einer Bildschirmaufzeichnung:
In dem Video ist auch zu erkennen, wie die Informationen „verschlüsselt“ werden. Und hier liegt vielleicht der wahre Skandal: Obwohl Xiaomi sogar auf Nachfrage nochmal betont, wie wichtig ihnen die Sicherheit ihrer Nutzer ist, spricht die Kodierung eine ganz andere Sprache. Dabei handelt es sich nämlich um Base64, was sich innerhalb von Sekunden in für Menschen lesbaren Text umgewandelt werden kann.
Anonymisierte Nutzerdaten zu sammeln und daraus bessere Software zu entwickeln, ist kein seltenes Geschäftsmodell – ganz im Gegenteil, es gehört einfach dazu. Mithilfe der gesendeten Metainformationen ließen sich aber die Daten einzelnen Personen zuordnen, und das wiederum ist – vor allem ohne Einverständnis – nicht in Ordnung. Überlassen wir die abschließende Einschätzung den Experten:
Both Cirlig and Tierney said Xiaomi’s behavior was more invasive than other browsers like Google Chrome or Apple Safari. “It’s a lot worse than any of the mainstream browsers I have seen,” Tierney said. “Many of them take analytics, but it’s about usage and crashing. Taking browser behavior, including URLs, without explicit consent and in private browsing mode, is about as bad as it gets.”
Update vom 02. Mai 2020: Xiaomi hat ein weiteres vollständiges Statement veröffentlicht, welches das Sammeln der Nutzerdaten bestätigt und zugleich den Vorgang im Allgemeinen verharmlost.
Xiaomi reagiert auf Vorwürfe, Nutzerdaten zu aggressiv abzugreifen
Update vom 03. Mai 2020: Obwohl man sich bei Xiaomi kaum einer Schuld bewusst war und das Thema eher unter den Teppich kehren wollte, liefert man nur drei Tage später App-Updates für die eigenen Browser mit entsprechenden Veränderungen.
[sd_posts template=“templates/teaser-loop.php“ posts_per_page=“5″ taxonomy=“post_tag“ tax_term=“Xiaomi“ order=“desc“]
Folge jetzt unserem WhatsApp-Kanal. Info: *provisionierte Affiliate-Links.
Daten sammeln scheinen alle Konzerne. Allen voran Google und Apple, bei denen als Hersteller von Geräten und Betriebssystemen es sogar am leichtesten fallen dürfte.
Dies wäre allerdings nur mit einem Verzicht auf ein Smartphone zu verhindern. (Und wer will das schon)
Aber mit anderen Handy Herstellern kommt ein vermeidbarer weiterer Player der Daten sammeln kann ins Spiel. Das ist durchaus ohne größere Nachteile vermeidbar.
Wobei wahrscheinlich hier auch noch sehr große Unterschiede bestehen.
Das Geräte von den chinesischen Firmen wie Huawei, Xiaomi, HMD,… überhaupt gekauft wurden, lag wohl hauptsächlich an der Schnäppchen Mentalität. Die wie die Kostenlosmentälität gerne solche Kleinigkeiten wie Datenschutz in den Hintergrund treibt.
Was erwarten wir von einer Firma, deren Ursprung in einer totoalüberwachten Diktatur liegt? Datenschutz? Überprüfbarkeit? Ehrlichkeit?
Klar. Bei derart vielen Geräten zum Tiefpreis, muss Geld auch über andere Wege generiert werden.
man findet im Netz nicht wirklich viel, zum Tatbestand des Missbrauchs von Nutzerdaten bei Xiaomi. wie kann man sich darüber informieren und schützen?
Was direkt in China passiert dürfte auch nur schwer ans Licht kommen.