Xiaomi hat mit einem ernsthaften Datenschutzskandal zu kämpfen. Das Unternehmen aus China, das mittlerweile zu den grössten Smartphone-Herstellern weltweit gehört, sammelt offenbar sehr, sehr viele Daten der Nutzer, sofern sie den hauseigenen Browser (den man übrigens auch im Google Play Store beziehen kann) verwenden. Doch damit nicht genug. Auch andere Apps sammeln mit – und speichern die Daten quasi unverschlüsselt in Russland und Singapur!
Update: Xiaomi hat nun in einem Blogpost Stellung genommen und beschreibt die Situation wie folgt. Der Originalartikel findet Ihr am Ende des Statements.
Xiaomi war enttäuscht, den jüngsten Artikel von Forbes zu lesen. Wir glauben, dass sie missverstanden haben, was wir bezüglich unserer Datenschutzgrundsätze und -politik mitgeteilt haben. Die Privatsphäre unserer Benutzer und die Sicherheit im Internet haben bei Xiaomi oberste Priorität; wir sind zuversichtlich, dass wir die lokalen Gesetze und Vorschriften strikt befolgen und vollständig einhalten. Wir haben uns an Forbes gewandt, um Klarheit über diese unglückliche Fehlinterpretation zu schaffen“.
Das Unternehmen bestätigt, dass es „aggregierte Nutzungsstatistikdaten“ sammelt, zu denen „Systeminformationen, Einstellungen, Nutzung von Funktionen der Benutzeroberfläche, Reaktionsfähigkeit, Leistung, Speichernutzung und Absturzberichte“ gehören. Sie stellen fest, dass diese Informationen „allein nicht zur Identifizierung einer Person verwendet werden können“ und bestätigen, dass URLs gesammelt werden, aber dass dies geschieht, um „Webseiten zu identifizieren, die langsam geladen werden“, so dass sie herausfinden können, „wie man die Gesamtleistung beim Surfen am besten verbessern kann“.
Weiter gibt das Unternehmen an, dass der individuelle Browserverlauf synchronisiert wird, aber nur, wenn „der Benutzer bei Mi Account (…) angemeldet ist und die Datensynchronisationsfunktion unter Einstellungen auf ‚Ein‘ gesetzt ist“. Sie bestreiten, dass Browsing-Daten, abgesehen von den oben genannten aggregierten Nutzungsstatistikdaten, synchronisiert werden, wenn der Benutzer den Inkognito-Modus aktiviert hat.
Xiaomi veröffentlichte daraufhin Screenshots von Code-Schnipseln aus einer ihrer Browser-Anwendungen (sie gaben allerdings nicht an, welcher Browser das ist), von denen sie behaupten, dass sie ihre Punkte demonstrieren. Der erste Codeschnipsel zeigt laut Xiaomi eine dekompilierte Methode dafür, „wie sie (Xiaomi) zufällig generierte eindeutige Token erstellen, die an aggregierte Nutzungsstatistiken angehängt werden“. Sie stellen fest, dass „diese Wertmarken keinen Personen entsprechen“.
Der nächste Codeschnipsel stammt anscheinend aus dem Quellcode des Browsers und zeigt eine Methode, „wie der Mi-Browser im Inkognito-Modus arbeitet, bei dem keine Daten des Benutzers synchronisiert werden“. Der dritte Codeschnipsel zeigt, dass die aggregierten Nutzungsstatistiken, die Xiaomi sammelt, „auf Xiaomis Domäne gespeichert“ und nicht an Sensor Analytics weitergegeben werden. Das vierte Bild schliesslich „zeigt, dass die Nutzungsstatistikdaten mit dem HTTPS-Protokoll der TLS 1.2-Verschlüsselung übertragen werden“.
Und am Ende des Blogposts zitiert Xiaomi dann 4 Zertifizierungen, die ihre Software von TrustArc und der British Standard Institution (BSI) erhalten hat. Zu diesen Zertifizierungen gehören ISO27001:2013, ISO27018:2014, ISO29151:2017 und TRUSTe.
Kein Statement ohne Gegendarstellung
Als Reaktion auf diesen Blogpost wandte sich der Cybersicherheitsforscher Andrew Tierney an Twitter, um Xiaomis Behauptungen zu widerlegen. Er gibt an, dass er und mehrere andere die Ergebnisse über mehrere Geräte hinweg erneut bestätigt haben – dass „kein Zweifel daran besteht, dass der Mint Browser Suchbegriffe und URLS sendet, während er sich im Inkognito-Modus befindet“. Er stellt fest, dass der von Xiaomi veröffentlichte Code nicht beweist, dass ihre „zufällig generierten einzigartigen Tokens“ nicht mit Individuen korreliert werden können. Die Forscher weisen darauf hin, dass die UUID offenbar über alle Browsersitzungen hinweg bestehen bleibt und sich erst ändert, wenn der Browser neu installiert wird. Ob Xiaomi die Daten nur auf ihren eigenen Servern oder anderswo speichert, war auch für die Forscher kein Streitpunkt. Darüber hinaus gibt der Forscher an, dass Xiaomi nicht beschuldigt wurde, die Daten über unsichere Methoden an entfernte Server zu senden. Er hält fest, dass es hier um die Daten selbst geht, die gesendet werden.
Xiaomi hat nun also offiziell ein Statement veröffentlicht und geht auf die Vorwürfe ein. Dieses Statement scheint aber für die Sicherheitsforscher kein Beweis dafür zu sein, dass Xiaomi korrekt handelt. Daher heisst es wohl oder übel: abwarten.
*****************************
Originalartikel:
Ein heute erschienener Bericht von Forbs geht der Frage nach, was genau Xiaomi so alles sammelt und wie. Mittels eines relativ aktuellen Redmi Note 8 hat genau untersucht und festgestellt, dass viele Nutzerdaten an Server in Singapur und Russland geschickt werden. Viel mehr, als Xiaomi offiziell angibt. Der Cybersecurity-Experte Gabriel Cirlig hat Xiaomi sogar kontaktiert und ihnen mittels eines Videos aufgezeigt, wie weit die Datensammelwut geht – Xiaomi dementiert aber.
Wie werden die Daten gesammelt?
Über den bei Xiaomi-Smartphones vorinstallierten Browser werden Nutzerdaten gesammelt – zum Beispiel Suchanfragen. Dabei spielt es keine Rolle, ob man nun Google, Yahoo, Bing oder gar DuckDuckGo als Suchmaschine nutzt. Zudem werden auch die besuchten Webseiten (auch im Inkognito-Modus) oder alle angesehenen Inhalte aus dem Newsfeed erfasst.
Wer nun denkt „okay, ist ja nicht so schlimm wenn man deren Browser nutzt“, der wird nun eines Besseren belehrt. Denn Xiaomi geht noch weiter. Das für die Tests genutzte Gerät (und somit wohl auch alle anderen Geräte) merken sich nämlich auch, welche Ordner man auf dem Smartphone geöffnet hatte, wo und wie man auf dem Screen herumgewischt hat und auch, was man in der Statusleiste oder in den Einstellungen so alles angepasst hat.
Diese Daten sollen auf den Servern in Singapur und Russland gespeichert werden. Die Server wiederum mietet Xiaomi von Alibaba, einem der grössten Online-Händler der Welt.
Wie reagiert Xiaomi auf die Vorwürfe?
Xiaomi reagiert ungefähr so, wie man es erwarten würde: Mal alles abstreiten. Datenschutz und Sicherheit würden an oberster Stelle stehen und alle Behauptungen stimmen nicht. Ein Sprecher lenkt zwar ein, dass man Browserdaten sammle, diese allerdings immer anonymisiert und nur mit dem Einverständnis des Nutzers.
Im Bericht von Forbes wird das Ganze wie folgt beschrieben:
„Als Antwort auf die Ergebnisse sagte Xiaomi: „Die Behauptungen der Forschung sind unwahr“, und „Datenschutz und Sicherheit sind von höchster Wichtigkeit“, und fügte hinzu, dass sie „sich strikt an die lokalen Gesetze und Vorschriften zum Datenschutz der Benutzer hält und diese vollständig einhält“. Ein Sprecher bestätigte jedoch, dass sie Browsing-Daten sammelte und behauptete, die Informationen seien anonymisiert und daher nicht an eine Identität gebunden. Sie sagten, dass die Benutzer einer solchen Nachverfolgung zugestimmt hätten.“
Ob das so stimmt? Besonders mit den lokalen Gesetzen? Nun:
„Cirlig vermutete auch, dass seine App-Nutzung von Xiaomi überwacht wurde, da jedes Mal, wenn er eine App öffnete, ein Informationsbrocken an einen entfernten Server gesendet wurde. Ein anderer Forscher, der Xiaomi-Geräte getestet hatte, aber unter einem NDA stand und dadurch nicht darüber sprechen durfte, sagte, er habe gesehen, wie das Telefon des Herstellers solche Daten sammelte. Xiaomi reagierte nicht auf Fragen zu diesem Thema.“
Daten sind verschlüsselt…
…aber ungefähr genauso gut, wie wenn man den Schlüssel im Schloss stecken lässt. Denn einem Sicherheitsforscher soll es in wenigen Sekunden gelungen sein, diese Verschlüsselung zu knacken. Dadurch werden anonymisierte Daten mit einem Algorithmus relativ schnell zu personenbezogenen Daten.
Solche Sicherheitslücken sind unüblich und heutzutage auch nicht Standard. Und es dürfte zudem nur eine Frage der Zeit sein, bis die Daten im Darkweb auftauchen.
Xiaomi weiss, welche Pornos du schaust
Mal ehrlich. Viele Menschen nutzen den Inkognito-Modus eines Browsers, damit Pornoseiten nicht im Browserverlauf landen oder getrackt werden können. Man möchte ja nicht, dass der Partner / die Partnerin oder gar die Kinder diesen Verlauf zu Gesicht bekommen.
Wer sich damit aber in Sicheheit wägt, der sollte unbedingt auch einen „sicheren“ Browser verwenden. Denn der Browser von Xiaomi schickt auch im Inkognitomodus Datenpakete raus an die Server, womit der Konzern wohl auch ganz gut weiss, welche Schmuddelseiten welche Nutzer in welcher Altersgruppe besuchen. Dass es so ist und man auch im Inkognito-Modus nicht sicher ist, beweist Cirlig eindrucksvoll in folgendem Video, in welchem auch zu erkennen ist, wie die Daten „verschlüsselt“ werden. Bei der Codierung handelt es sich um Base64, welche sich innert Sekunden für Menschen wieder in lesbaren Text umwandeln lässt.
Musik-App ebenfalls
Auch bei Musik weiss Xiaomi Bescheid, sofern ihr die eigene App des Herstellers nutzt. Cirlig entdeckte auch, dass Xiaomis Musik-Player-App auf seinem Handy Informationen über seine Hörgewohnheiten sammelte: welche Lieder wann gespielt wurden. Eine Botschaft war für den Forscher klar: Wenn man zuhört, hört Xiaomi auch zu.
Vermutlich wird es bei allen hauseigenen Apps der Fall sein, dass Xiaomi mithört und mitliest. Gut, dass bei der Anruf- und SMS-App mittlerweile die Google-App vorinstalliert wird (ob das o viel besser ist..?). Schlussendlich ist man gut daran, wenn man alternative Apps fürs Browsen, Musik hören usw. nutzt – und nicht den vorinstallierten Quark von Xiaomi verwendet. Hier ein paar Alternativ-Apps:
Mir persönlich stellt sich die Frage, ob Xiaomi damit besser ist, als Huawei oder andere Hersteller (Oppo, Realme, OnePlus, Samsung und Co) und ob diese Anbieter wohl auch Daten sammeln. Wenn Xiaomi nicht dort landen will, wo Huawei nun ist, werden sie damit wohl sehr schnell wieder aufhören müssen. Ich persönlich bin froh um solche Security-Experten, die aufzeigen, wo China eben nicht nur der nette Partner ist, der uns mit günstigen Geräten versorgt.
Was haltet Ihr von der Geschichte? Was für Smartphones nutzt Ihr?
ich hab’s geahnt. ich nutze ein MI 9 global. bei der Ersteinrichtung habe ich versucht alle Infos zu verhindern, welche mit MI zu tun haben. Ein MI Konto habe ich ebenfalls nicht angelegt…
Gut das ich noch immer mein Lumia 950 benutze!😋📲
Das liegt aber nicht am 950 oder deiner Standhaftigkeit, sondern an der dünnen Verbreitung des Gerätes bzw des OS. Es lohnt schlicht nicht w10m in irgendeiner Art anzugreifen, da es eben kaum noch wer nutzt. Auch für derlei Leute zählt ein Kosten/Nutzenverhältnis.
Das hat mir sogar mal ein Polizist bestätigt. Er meinte, sie hätten schon die Möglichkeit, aber wenn es nicht unbedingt nötig ist, würden sie eine solche Auswertung nicht vornehmen.
dann habe ich ja wohl Glück, dass meine anbindungen an Xiaomi Produkten so exotisch wie meine mobilen Betriebssysteme sind 😉
Ich nutze immer noch das 950XL (bind my band) und mein Sailfish Xperia XA2 (amazfish).
Oh nein, eine Firma sammelt Daten dass die Heide wackelt. 🙄
Willkommen im Club!
Facebook, Google, Amazon, Microsoft, Apple und Huawei usw. sind ja schon in diesem elitären Club.
Warum regen sich die verantwortlichen nicht einfach mal und regeln oder verbieten es?
Wenn ich so in meine Firewall schaue und sehe was die Smartphones so täglich treiben, packt mich die Weißglut.
Was soll ich davon halten…..? Was meinst du. Oder anderst gefragt… was machen Andere anders…? In dem Augenblick in dem du eine Sim-Karte mit deinem Namen anmeldest bist du registriert. Egal bei welchem Provider oder Hersteller von irgend welchen Telefonen… egal was du machst…ab diesen Tag wird alles was über diese Sim-Karte an Daten läuft überwacht und ausgelesen. Keiner kommt da raus, noch nicht mal die Kanzlerin und ihre „Freunde das geht gar nicht“. Wenn ihr denkt das irgendeine Firma, Staat,Personen mit Macht oder Hacker nicht nach euren Daten zehren, dann lebt ihr in einer naiven Welt.