Reuters hat einen Warnartikel veröffentlicht, dass der chinesische Riese Xiaomi die persönlichen Daten von Millionen Menschen über ihre Online-Aktivitäten und Gerätenutzung aufzeichnet. „Es ist eine Hintertür zur Funktionalität eines Telefons“, sagte Gabi Cirlig halb im Scherz über sein neues Xiaomi-Smartphone.
Dieser erfahrene Cybersicherheitsforscher sprach mit Forbes, nachdem er herausgefunden hatte, dass sein Redmi Note 8-Smartphone alles ausspionierte, was er tat. Diese Daten wurden dann an Remote-Server gesendet, die vom chinesischen Technologieriesen Alibaba gehostet wurden und wahrscheinlich von Xiaomi gemietet wurden.
Herr Kirlig stellte fest, dass eine alarmierende Menge an Informationen über sein Verhalten verfolgt wurde, während gleichzeitig verschiedene Arten von Daten vom Gerät erfasst wurden – der Spezialist war entsetzt, dass dem chinesischen Unternehmen Einzelheiten zu seiner Identität und seinem Privatleben vollständig bekannt waren.
Als er Websites im Standard-Xiaomi-Browser auf dem Gerät durchsuchte, zeichnete dieser alle besuchten Websites auf, einschließlich Anfragen von Suchmaschinen, sei es Google oder dem datenschutzorientierten DuckDuckGo, und alle im Newsfeed der Xiaomi-Shell angezeigten Elemente auch aufgezeichnet. Darüber hinaus funktionierte die gesamte Überwachung auch im „Inkognito“-Modus.
Das Gerät zeichnete auf, welche Ordner geöffnet wurden, welche Bildschirme gewechselt wurden, auch wenn es um die Statusleiste und die Seite mit den Geräteeinstellungen ging. Alle Daten wurden stapelweise an entfernte Server in Singapur und Russland gesendet, obwohl die Webdomänen der Server in Peking registriert waren.
Auf Wunsch von Forbes führte ein anderer Cybersicherheitsforscher, Andrew Tierney, seine eigene Untersuchung durch. Er entdeckte auch, dass die von Xiaomi auf Google Play bereitgestellten Browser – Mi Browser Pro und Mint Browser – dieselben Daten sammeln. Laut Google Play-Statistiken wurden sie zusammen mehr als 15 Millionen Mal installiert, was bedeutet, dass Millionen von Geräten betroffen sein könnten.
Die Probleme, so Herr Kirlig, betreffen eine viel größere Anzahl von Modellen. Er lud Firmware für andere Xiaomi-Telefone herunter, darunter das Xiaomi Mi 10, Xiaomi Redmi K20 und Xiaomi Mi MIX 3, bevor er bestätigte, dass sie einen identischen Browser verwenden und wahrscheinlich unter denselben Datenschutzproblemen leiden.
Auch bei der Art und Weise, wie Xiaomi Daten an seine Server übermittelt, scheint es Schwierigkeiten zu geben. Obwohl das chinesische Unternehmen behauptet, dass die Daten verschlüsselt seien, stellte Gabi Kirlig fest, dass er schnell sehen konnte, was von seinem Gerät heruntergeladen wurde, da die Verschlüsselung den einfachsten Base64-Algorithmus verwendet. Die Umwandlung der Datenpakete in lesbare Informationen dauerte nur wenige Sekunden. Er warnte außerdem: „Meine größte Sorge in Bezug auf den Datenschutz besteht darin, dass die an Remote-Server gesendeten Daten sehr leicht einem bestimmten Benutzer zugeordnet werden können.“
Als Reaktion auf die Ergebnisse der besagten Experten sagte ein Xiaomi-Sprecher, dass die Forschungsbehauptungen nicht wahr seien und dass Datenschutz und Sicherheit von größter Bedeutung seien und dass das Unternehmen sich strikt an lokale Gesetze und Vorschriften in Bezug auf Benutzerdatenschutz halte und diese vollständig einhalte . Der Sprecher bestätigte jedoch, dass Browserdaten erfasst werden, und sagte, die Informationen seien anonym und nicht an eine Person gebunden, und die Benutzer stimmten einer solchen Nachverfolgung zu.
Aber wie Gabi Kirlig und Andrew Tierney betonen, wurden nicht nur Informationen über besuchte Websites oder Internetsuchen an den Server gesendet: Xiaomi sammelte auch Daten über das Telefon, darunter eindeutige Nummern zur Identifizierung eines bestimmten Geräts und einer Android-Version. Solche Metadaten können bei Bedarf problemlos mit der realen Person hinter dem Bildschirm korreliert werden.
Ein Xiaomi-Sprecher wies auch Behauptungen zurück, dass Browserdaten im Inkognito-Modus aufgezeichnet würden. Sicherheitsforscher stellten jedoch in ihren unabhängigen Tests fest, dass ihr Online-Verhalten Nachrichten an Remote-Server sendet, unabhängig davon, in welchem Modus der Browser ausgeführt wird, und lieferten sowohl Fotos als auch Videos als Beweismittel.
Als Forbes-Journalisten Xiaomi ein Video zur Verfügung stellten, das zeigte, wie Google-Suchanfragen und Website-Besuche auch im Inkognito-Modus an Remote-Server gesendet wurden, bestritt ein Unternehmenssprecher weiterhin, dass die Informationen aufgezeichnet wurden: „Dieses Video demonstriert die Erfassung anonymer Browserdaten, die.“ ist eine der häufigsten Entscheidungen von Internetunternehmen, um das Surferlebnis insgesamt durch die Analyse nicht persönlich identifizierbarer Informationen zu verbessern.“
Allerdings gehen Sicherheitsexperten davon aus, dass das Verhalten des Xiaomi-Browsers viel aggressiver ist als bei anderen gängigen Browsern wie Google Chrome oder Apple Safari: Letztere zeichnen ohne ausdrückliche Zustimmung des Benutzers und im privaten Browsermodus kein Browserverhalten, einschließlich URLs, auf.
Darüber hinaus entdeckte Herr Kirlig bei seinen Recherchen, dass der auf Xiaomi-Smartphones vorinstallierte Musikplayer Informationen über Hörgewohnheiten sammelt: Welche Lieder werden wann abgespielt?
Auch Gabi Kirlig vermutet, dass Xiaomi die Softwarenutzung überwacht, weil jedes Mal, wenn er Apps öffnet, eine kleine Menge an Informationen an einen Remote-Server gesendet wird. Ein anderer von Forbes zitierter anonymer Forscher sagte, er habe auch aufgezeichnet, wie die Telefone des chinesischen Unternehmens ähnliche Daten sammelten. Xiaomi äußerte sich hierzu nicht.
Berichten zufolge sollen die Daten an das chinesische Analyseunternehmen Sensors Analytics (auch bekannt als Sensors Data) gesendet werden, das 2015 gegründet wurde und sich mit der tiefgreifenden Analyse des Nutzerverhaltens und der Bereitstellung professioneller Beratungsdienste beschäftigt. Seine Tools helfen Kunden dabei, verborgene Daten zu erkunden, indem sie wichtige Verhaltensmuster untersuchen. Ein Xiaomi-Sprecher bestätigte die Verbindung mit dem Startup: „Obwohl Sensors Analytics eine Datenanalyselösung für Xiaomi bereitstellt, werden die gesammelten anonymen Daten auf Xiaomis eigenen Servern gespeichert und nicht an Sensors Analytics oder andere Drittunternehmen weitergegeben.“
Source: 3dnews.ru