Xiaomi weiss, was die Nutzer im Inkognitomodus suchen
Wer ein Handy von Xiaomi nutzt, sollte sich ganz genau überlegen, was er darauf googelt. Gemäss einem Bericht von Forbes soll der chinesische Hersteller fleissig Daten sammeln – auch wenn man den Inkognitomodus nutzt. Dazu zählen etwa besuchte Websites und auch gehörte Songs.
Die US-amerikanische Zeitschrift „Forbes“ erhebt in einem Bericht schwere Vorwürfe gegen den chinesischen Hersteller Xiaomi. Dessen Handys seien im Wesentlichen „Backdoors mit Telefonie-Funktionen“. Der Bericht beruft sich auf Aussagen der beiden Cybersecurity-Experten Gabi Cirlig und Andrew Tierney.
Cirlig sei aufgefallen, dass sein Redmi Note 8 sein Nutzungsverhalten auf dem Smartphone verfolgt und an Server in Singapur und Russland schickt. So sammle der Standard-Xiaomi-Browser unter anderem die URLs besuchter Websites, Suchanfragen über Google und Duckduckgo, gelesene News-Beiträge über die News-App – auch wenn der Nutzer den Inkognitomodus benutzte. Auch die im Google Playstore erhältliche Version des Browsers bespitzle die Nutzer.
Das Gerät wollte aber noch mehr wissen. Gemäss dem Bericht sammelte es auch Informationen darüber, welche Dateiordner geöffnet wurden, Seriennummern, mit denen sich das spezifische Gerät identifizieren lässt sowie über die Version des installierten Android-OS. Auch die Musik-App von Xiaomi zeigte eine unangebrachte Neugier: Die App schickte etwa weiter, welche Lieder wann abgespielt wurden.
Datenabfluss für Benutzeranalysen
Der Bericht setzt diesen Datenabfluss mit der Firma Sensor Analytics in Verbindung. Das Unternehmen bietet Analysen und Beratungen rundum Nutzerverhalten an. Und Xiaomi gehört zu den Kunden der Firma. Laut dem Bericht senden Xiaomi-Apps die Daten an Domains, die auf Sensors Analytics zu verweisen scheinen.
Xiaomi dementiert die Befunde gegenüber Forbes. Die Behauptungen der beiden Sicherheitsforscher seien unwahr, der Schutz der Privatsphäre von höchster Bedeutung und das Unternehmen halte sich streng an lokale Gesetze und Vorschriften zum Datenschutz.
Eine Mediensprecherin bestätigte gegenüber Forbes jedoch, dass gewisse Daten tatsächlich gesammelt wurden. Diese Informationen seien jedoch verschlüsselt, sodass man daraus nicht auf die Identität des Benutzers schliessen könne.
Verschlüsselung innert Sekunden geknackt
Laut dem Forbes-Bericht sei es Cirlig jedoch gelungen, die Verschlüsselung innert weniger Sekunden zu knacken. Das genutzte Base64-Verfahren bot nur wenig Widerstand. "Mein Hauptanliegen ist, dass die gesendeten Daten sehr leicht mit einem bestimmten Benutzer korreliert werden können", zitiert die Zeitschrift Cirlig.
In einem Blogeintrag erklärt Xiaomi, wie und wann dessen Geräte die von Benutzern besuchten URLs sammeln. In einem kommenden Update für den Browser will der Hersteller zudem die Option einführen, das Senden von Daten zu deaktivieren.
Wer mehr zum Thema Cybercrime und IT-Sicherheit lesen will, kann dies im IT-Security-Blog von IT-Markt auf www.it-markt.ch/Security tun. Der Blog wird laufend aktualisiert.
Zum Nachschlagen:
Das IT-Security-Glossar verschafft einen schnellen Überblick über die gängigsten Begriffe rund um Cybercrime und IT-Security - ohne Anspruch auf Vollständigkeit.
Das Who’s who der Malware gibt einen schnellen Überblick darüber, was hinter den Namen der einzelnen Schadprogrammen steckt. Mehr auf www.it-markt.ch/MalwareABC.