Xiaomi-Smartphones spionieren ihre Benutzer aus

Xiaomi-Smartphones spionieren ihre Benutzer aus

Zwei IT-Sicherheitsexperten haben das Verhalten von Mobiltelefonen des Herstellers Xiaomi analysiert. Sie fanden bedenkliche Verhaltensmuster, die für Besitzer eines solchen Smartphones erschreckend sein können.

Zentrale Frage der Untersuchung war, wie vertraulich die Mobiltelefone des Herstellers mit den Daten zum Benutzerverhalten der Besitzer umgehen. Gabriel Cîrlig, einer der beiden Sicherheitsfachleute, nutze sein eigenes Redmi Note 8 von Xiaomi für den Test. Hierbei fiel auf, dass das Gerät alle Besuche auf Webseiten, die mit dem vorinstallierten Browser vorgenommen wurden, speicherte. Später wurden diese Daten an einen Server übermittelt, der zu Alibaba, einem chinesischen Konzern, gehört. Damit nicht genug speicherte das Smartphone auch Sucheingaben auf Google und ähnlichen Suchmaschinen. Diese Informationen wurden ebenfalls übertragen.

Auch bei der Nutzung anderer Apps fanden die Forscher auffällige Aktivitäten. So übertrugen die Smartphones Daten, wenn die Musik-App von Xiaomi genutzt wird. Die Informationen beinhalteten den Musiktitel sowie die Tageszeit, wann die Musik gehört wurde. Selbst ganz allgemeine Nutzerdaten scheinen interessant zu sein. So speicherten die Xiaomi-Geräte Informationen darüber, wann bestimmte Apps oder Ordner geöffnet wurden. Auch die Zeitpunkte, wann ein Nutzer sein Gerät mit einem Wisch über den Bildschirm öffnete, wurden protokolliert.

Dieses Verhalten zu umgehen scheint nicht einfach zu sein. Die Experten testeten andere Browser, die sie über den App-Store installierten. Auch hier zeigten die Geräte von Xiaomi das gleiche Verhalten. Selbst im Inkognito-Modus, der explizit für anonymes Browsen und besonders hohe Privatsphäre konzipiert ist, loggten die Xiaomi-Smartphones die Benutzerdaten und sendeten diese weiter. Zu den Daten, die das Xiaomi-Smartphone übertrug, gehörten weiterhin Informationen über den Gerätetyp, die Version des Betriebssystems und eine Nutzererkennung. Anhand dieser Daten ist es also möglich, dass in der Auswertung ein Nutzer eindeutig identifiziert wird.

Betroffen sind anscheinend eine ganze Reihe von Xiaomi-Smartphones. Die Firmware, bei der die fragwürdigen Mechaniken gefunden wurde, kommt beispielsweise auf den Geräten der Serien Mi 10, Redmi K20 und Mi MIX 30 zum Einsatz. Somit könnten weltweit etwa zwei Millionen Smartphones des Herstellers betroffen sein.

In einer ersten Stellungnahme widersprach Xiaomi den Vorwürfen. Die Wahrung der Privatsphäre ihrer Kunden hätte für das Unternehmen höchste Priorität. Außerdem würde Xiaomi die jeweiligen nationalen Gesetze beachten. Gleichzeitig bestätigte ein Sprecher jedoch, dass Nutzerdaten tatsächlich gesammelt würde. Jedoch hätten die Nutzer dieser Speicherung zugestimmt und Daten würden ausschließlich anonymisiert und verschlüsselt erfasst. Das Ziel sei es, langsame Webseiten zu identifizieren. In einem späteren Blogeintrag vom 3. Mai fügte Xiaomi hinzu, dass ein baldiges Update für die betroffenen Apps erfolgen soll. Dann sollen Benutzer eine Möglichkeit erhalten, im Inkognito-Modus der Datenspeicherung widersprechen zu können.