Xiaomi spioniert Nutzer aus
Apps, Musik, Browserverlauf: Sicherheitsforscher haben aufgedeckt, dass viele Xiaomi-Geräte diese privaten Daten sammeln und nach China senden.
Xiaomi ist mit den Fingern im sprichwörtliche Cookie-Glas ertappt worden. Der IT-Sicherheitsspezialist Gabriel Cîrlig entdeckte bei der Nutzung seines Xiaomi Redmi Note 8, dass bei der Verwendung des mitgelieferten Browsers jede besuchte Website an einen Server bei Alibaba übermittelt wird. Er vermutet außerdem, dass weitere Modelle betroffen sind.
Ihre Daten auf dem Weg nach China
App-Telemetrie oder statistische Handynutzungsdaten werden von vielen Herstellern gesammelt. Manchmal auch in ehrenwerter Absicht, etwa um den Code verbessern zu können. Oft geschieht die Sammelei aus Unachtsamkeit, weil die eingebundene Analytics-Bibliothek viel mehr Daten sammelt als der App-Entwickler eigentlich benötigt.
Im Fall von Xiaomi handelt es sich jedoch eindeutig um böswillige Spionage. Es wird nicht nur die URL jeder besuchten Website, sondern auch Suchanfragen an Suchmaschinen wie Google und Duck Duck Go übertragen. Und das sogar im “Inkognito-Modus” der dem Nutzer wenigstens das Gefühl von Privatheit beim surfen geben soll.
“It’s a backdoor with phone functionality,” quips Gabi Cîrlig about his new Xiaomi phone. He’s only half-joking.
Aufgezeichnet werden weiterhin:
- Gelesene Nachrichten im News-Feed der Xiaomi-Software
- Geöffnete Ordner
- Systemeinstellungen und der Inhalt der Status-Leiste
- Die Öffnung jeglicher Apps
- Das Abspielen von Liedern in der Xiaomi Music-App
Xiaomi spioniert auf wohl praktisch allen Geräten
Cîrlig berichtet im Forbes-Artikel, dass er vergleichbaren Browser-Code in der Firmware des Xiaomi MI 10, Xiaomi Redmi K20 und dem Xiaomi Mi MIX entdeckt hat. Das lässt vermuten, dass deutlich mehr Geräte, wenn nicht sogar alle Xiaomi-Geräte, betroffen sind.
Weitere Apps spionieren auch
Forbes beauftragte den IT-Sicherheitsforscher Andrew Tierney. Dieser bestätigte die Ergebnisse von Gabriel Cîrlig und fand darüber hinaus noch weitere Apps, die die gleichen Daten sammelten. Das sind im Google Play Store der “Mi Browser Pro” und der “Mint Browser”, mit insgesamt mehr als 15 Millionen Downloads.
Schlamperei bei der Datenübertragung
Hinzu kommt noch, dass die Übertragung der Daten auf russische und chinesische Server schlecht abgesichert ist. Sie wurden nicht verschlüsselt, sondern nur mit einem wohlbekannten Verfahren verwürfelt, d.h. in kurzer Zeit konnte jeder Interessierte die Daten lesen.
Stellungnahme von Xiaomi
Wenig verwunderlich, aus Sicht von Xiaomi stellt sich die Situation ganz anders dar. Eine Stellungnahme wurde hier veröffentlicht: Evidence and statement in response to media coverage on our privacy policy
Fazit zur Xiaomi Spionage
Wir sind mittlerweile ja einiges gewöhnt was den Abfluss von Daten betrifft. Auch und gerade von den chinesischen Mobiltelefonherstellern. Die Nutzung des Gardion VPN ist—neben dem Austausch des Gerätes—so ziemlich die einzige Möglichkeit dieses Problem abschließend in den Griff zu bekommen.
Gardion Nutzer sind sicher: In allen Filtersets ab Stufe 2 wird diese Spionage blockiert.
Im Gardion Forum beschreiben wir den aktuellen Stand der Xiaomi-Filterung und auch die eventuellen Einschränkungen, die dadurch auf Xiaomi-Kunden zukommen: Xiaomi spioniert seine Kunden aus