Xiaomi spioniert Nutzer aus

05 Apr 2020 | Thomas Schlenkhoff

Photo by Mike Benna on Unsplash

Xiaomi ist mit den Fingern im sprichwörtliche Cookie-Glas ertappt worden. Der IT-Sicherheitsspezialist Gabriel Cîrlig entdeckte bei der Nutzung seines Xiaomi Redmi Note 8, dass bei der Verwendung des mitgelieferten Browsers jede besuchte Website an einen Server bei Alibaba übermittelt wird. Er vermutet außerdem, dass weitere Modelle betroffen sind.

Ihre Daten auf dem Weg nach China

App-Telemetrie oder statistische Handynutzungsdaten werden von vielen Herstellern gesammelt. Manchmal auch in ehrenwerter Absicht, etwa um den Code verbessern zu können. Oft geschieht die Sammelei aus Unachtsamkeit, weil die eingebundene Analytics-Bibliothek viel mehr Daten sammelt als der App-Entwickler eigentlich benötigt.

Im Fall von Xiaomi handelt es sich jedoch eindeutig um böswillige Spionage. Es wird nicht nur die URL jeder besuchten Website, sondern auch Suchanfragen an Suchmaschinen wie Google und Duck Duck Go übertragen. Und das sogar im “Inkognito-Modus” der dem Nutzer wenigstens das Gefühl von Privatheit beim surfen geben soll.

“It’s a backdoor with phone functionality,” quips Gabi Cîrlig about his new Xiaomi phone. He’s only half-joking.

Aufgezeichnet werden weiterhin:

  • Gelesene Nachrichten im News-Feed der Xiaomi-Software
  • Geöffnete Ordner
  • Systemeinstellungen und der Inhalt der Status-Leiste
  • Die Öffnung jeglicher Apps
  • Das Abspielen von Liedern in der Xiaomi Music-App

Xiaomi spioniert auf wohl praktisch allen Geräten

Cîrlig berichtet im Forbes-Artikel, dass er vergleichbaren Browser-Code in der Firmware des Xiaomi MI 10, Xiaomi Redmi K20 und dem Xiaomi Mi MIX entdeckt hat. Das lässt vermuten, dass deutlich mehr Geräte, wenn nicht sogar alle Xiaomi-Geräte, betroffen sind.

Weitere Apps spionieren auch

Forbes beauftragte den IT-Sicherheitsforscher Andrew Tierney. Dieser bestätigte die Ergebnisse von Gabriel Cîrlig und fand darüber hinaus noch weitere Apps, die die gleichen Daten sammelten. Das sind im Google Play Store der “Mi Browser Pro” und der “Mint Browser”, mit insgesamt mehr als 15 Millionen Downloads.

Schlamperei bei der Datenübertragung

Hinzu kommt noch, dass die Übertragung der Daten auf russische und chinesische Server schlecht abgesichert ist. Sie wurden nicht verschlüsselt, sondern nur mit einem wohlbekannten Verfahren verwürfelt, d.h. in kurzer Zeit konnte jeder Interessierte die Daten lesen.

Stellungnahme von Xiaomi

Wenig verwunderlich, aus Sicht von Xiaomi stellt sich die Situation ganz anders dar. Eine Stellungnahme wurde hier veröffentlicht: Evidence and statement in response to media coverage on our privacy policy

Fazit zur Xiaomi Spionage

Wir sind mittlerweile ja einiges gewöhnt was den Abfluss von Daten betrifft. Auch und gerade von den chinesischen Mobiltelefonherstellern. Die Nutzung des Gardion VPN ist—neben dem Austausch des Gerätes—so ziemlich die einzige Möglichkeit dieses Problem abschließend in den Griff zu bekommen.

Gardion Nutzer sind sicher: In allen Filtersets ab Stufe 2 wird diese Spionage blockiert. Jetzt in der Pilotphase einfach kostenlos Gardion testen. In fünf Minuten gehört Ihr Xiaomi-Handy wieder Ihnen!

Jetzt Pilotnutzer werden

Im Gardion Forum beschreiben wir den aktuellen Stand der Xiaomi-Filterung und auch die eventuellen Einschränkungen, die dadurch auf Xiaomi-Kunden zukommen: Xiaomi spioniert seine Kunden aus