Xiaomi-Smartphones senden Surfverhalten an Hersteller
Smartphones des Herstellers Xiaomi zeichnen offenbar das Nutzerverhalten auf und senden es über das Internet an die chinesische Firma. Hauptsächlich betrifft dies das Surfverhalten, aber etwa auch die Musik-Vorlieben.
Die Sicherheitsforscher Gabi Cirlig und Andrew Tierney hatten die Geräte untersucht, berichtet das Wirtschaftsmagazin Forbes. Der vorinstallierte “Mi Browser” überträgt demnach die besuchten Webseiten sowie komplette Suchanfragen, unabhängig von der verwendeten Suchmaschine, an den Hersteller Xiaomi. Der Browser zeichnet diese Daten sogar im Inkognito-Modus auf, der eigentlich mehr Privatsphäre suggeriert.
Xiaomi bietet auch zwei Browser über Google Play für andere Android-Smartphones an: Sowohl der “Mi Browser Pro” als auch der “Mint Browser” sollen dieselben Daten sammeln und übertragen.
Mehrere Smartphone-Modelle betroffen
Das zunächst getestete Modell Redmi Note 8 übermittelt auch, welche Dateiordner Benutzer geöffnet haben und ob sie beispielsweise die Einstellungen aufgerufen haben. Die vorinstallierte Musik-App überträgt zudem, welches Lied zu welchem Zeitpunkt abgespielt wurde.
Um festzustellen, ob das Problem nur beim Redmi-Modell besteht, hat Cirlig daraufhin den Browser anderer Xiaomi-Telefone wie dem Mi 10 und dem Mi Mix 3 untersucht: Der Quelltext des Browsers soll identisch sein und damit dieselben Probleme aufweisen.
Software sendet eindeutige Nutzer-ID mit
Zudem überträgt die Software laut den Sicherheitsexperten Metadaten wie die verwendete Android-Version und eine eindeutige Nutzer-ID. Das passiert auch, wenn man nicht direkt bei Xiaomi ein Benutzerkonto anlegt.
Alle Daten wurden an Xiaomi-Server in Singapur und Russland übertragen, die vom chinesischen Unternehmen Alibaba betrieben wurden.
Mit den Vorwürfen konfrontiert, hat Xiaomi das Vorgehen gegenüber Forbes zunächst abgestritten und erklärt, man halte sich an die Datenschutzbestimmungen der einzelnen Länder. Mittlerweile hat der Hersteller jedoch die Datenübermittlung in einer Stellungnahme eingeräumt. Xiaomi erklärte, es handle sich um Analysedaten, um etwa Probleme mit bestimmten Webseiten zu identifizieren. Die Daten seien anonymisiert. Die Browser-Daten würden nur übertragen, wenn man einen Mi-Account von Xiaomi nutze – dem widersprechen die Sicherheitsforscher jedoch.
Update für Browser veröffentlicht
Xiaomi hat inzwischen ein Update für seine Browser-Apps zur Verfügung gestellt. Im Inkognito-Modus lässt sich die Datenübertragung dann ein- oder ausschalten. Unklar bleibt, ob sie standardmäßig aktiviert ist.
Xiaomi-Smartphones waren in Deutschland lange nur als chinesische Direktimporte verfügbar. Seit Ende 2018 sind die Geräte jedoch auch offiziell bei den großen Elektronikmärkten Saturn und Media Markt und bei deutschen Online-Händlern erhältlich. Seit dem Sommer 2019 hat der Hersteller eine eigene Niederlassung in Deutschland.
Es ist nicht das erste Mal, dass Xiaomi durch das Sammeln von Daten auffällt. Schon im Jahr 2014 hatte es solche Vorwürfe gegeben. Die IT-Sicherheitsfirma F-Secure hatte damals festgestellt, dass ein Testgerät unter anderem die eigene Telefonnummer, Telefonnummern aus dem Adressbuch sowie SMS-Nachrichten an Xiaomi übertragen hatte. (js)