expertenaustausch > soc.* > soc.datenschutz

Jack.Ryan (06.05.2020, 17:11)
Xiaomi hat offenbar ein ernsthaftes Problem mit dem Datenschutz. Um persönliche Daten an den
Hersteller zu schicken, braucht es nicht mal ein Gerät von ihm.

Dass mal wieder in irgendeiner App eines chinesischen Herstellers ein Datenleck gefunden
wurde, wäre an sich kaum mehr eine Meldung wert. Gerade in Zeiten, in denen vor allem die
Videokonferenz-Software Zoom das Thema Datenschutz (und allgemein Kredibilität) negativ
spitzenmäßig besetzt.

Xiaomi hat offenbar ein ernsthaftes Problem mit dem Datenschutz. Um persönliche Daten an den
Hersteller zu schicken, braucht es nicht mal ein Gerät von ihm.

Dass mal wieder in irgendeiner App eines chinesischen Herstellers ein Datenleck gefunden
wurde, wäre an sich kaum mehr eine Meldung wert. Gerade in Zeiten, in denen vor allem die
Videokonferenz-Software Zoom das Thema Datenschutz (und allgemein Kredibilität) negativ
spitzenmäßig besetzt.

Doch wenn ein solcher Exklusivbericht des US-Wirtschaftsmagazins Forbes erscheint und es mit
Xiaomi um einen der weltgrößten Hersteller aus der Smartphone-Industrie geht, dann hat das
nochmal ganz andere Dimensionen.

Demnach hat Cybersecurity-Experte Gabriel Cirlig nämlich ein bemerkenswertes Datenleck auf
seinem Xiaomi-Phone gefunden. Mit dem vorinstallierten Browser werden Nutzerdaten gesammelt,
zum Beispiel Suchanfragen (egal ob über Google oder DuckDuckGo), besuchte Webseiten (auch im
Inkognito-Modus) oder alle angesehenen Inhalte aus dem Newsfeed.

Damit nicht genug: Das Gerät hat sich auch gemerkt und weitergegeben, welche Ordner geöffnet
wurden, wie man auf welchem Bildschirm gewischt hat und was man in der Statusleiste oder den
Einstellungen angepasst hat. All diese Datenpakete sollen digital verschnürt und auf Server in
Singapur und Russland verschickt worden sein. Die hat Xiaomi offenbar von einem der anderen
China-Riesen, Alibaba, gemietet.

Experte Cirlig hat diese Entdeckungen auf einem Xiaomi Redmi Note 8 gemacht, doch seiner
Meinung nach betrifft es auch viele andere Geräte. Dafür spricht zudem, was Andrew Tierney im
Auftrag von Forbes herausgefunden hat.

> He also found browsers shipped by Xiaomi on Google Play—Mi Browser Pro and the Mint Browser—were collecting the same data. Together, they have more than 15 million downloads, according to Google Play statistics.


Es betrifft also sogar Menschen, die noch nicht mal ein Xiaomi-Gerät haben. Immerhin, es gibt
ohne Xiaomi-Smartphone wenig Gründe, deren Browser zu nutzen (und selbst mit anscheinend
nicht).

Konfrontiert mit diesen Vorwürfen reagiert der Konzern natürlich erstmal abwehrend.
Datenschutz und Sicherheit stünden an oberster Stelle und die Behauptungen seien alle unwahr.
Ein Sprecher habe zwar bestätigt, dass man Browserdaten sammele, allerdings anonymisiert und
nur mit dem Einverständnis des Nutzers.

> In response to the findings, Xiaomi said, “The research claims are untrue,” and “Privacy and security is of top concern,” adding that it “strictly follows and is fully compliant with local laws and regulations on user data privacy matters.” But a spokesperson confirmed it was collecting browsing data, claiming the information was anonymized so wasn’t tied to any identity. They said that users had consented to such tracking.


Im Inkognito-Modus würde das allgemein nicht passieren. Wofür man den in der Regel benutzt,
muss jeder selbst wissen – jedenfalls macht Xiaomi auch nicht vor Pornos halt. Dass und wie
diese Daten abgegriffen werden, beweist ein Entwickler eindrucksvoll in einer
Bildschirmaufzeichnung:

In dem Video ist auch zu erkennen, wie die Informationen „verschlüsselt“ werden. Und hier
liegt vielleicht der wahre Skandal: Obwohl Xiaomi sogar auf Nachfrage nochmal betont, wie
wichtig ihnen die Sicherheit ihrer Nutzer ist, spricht die Kodierung eine ganz andere Sprache.
Dabei handelt es sich nämlich um Base64, was sich innerhalb von Sekunden in für Menschen
lesbaren Text umgewandelt werden kann.

Anonymisierte Nutzerdaten zu sammeln und daraus bessere Software zu entwickeln, ist kein
seltenes Geschäftsmodell – ganz im Gegenteil, es gehört einfach dazu. Mithilfe der gesendeten
Metainformationen ließen sich aber die Daten einzelnen Personen zuordnen, und das wiederum ist
– vor allem ohne Einverständnis – nicht in Ordnung. Überlassen wir die abschließende
Einschätzung den Experten:

> Both Cirlig and Tierney said Xiaomi’s behavior was more invasive than other browsers like Google Chrome or Apple Safari. “It’s a lot worse than any of the mainstream browsers I have seen,” Tierney said. “Many of them take analytics, but it’s about usage and crashing. Taking browser behavior, including URLs, without explicit consent and in private browsing mode, is about as bad as it gets.”


Update vom 02. Mai 2020: Xiaomi hat ein weiteres vollständiges Statement veröffentlicht,
welches das Sammeln der Nutzerdaten bestätigt und zugleich den Vorgang im Allgemeinen
verharmlost.



und
dem-standardbrowser-unterwegs-ist/
F. W. (07.05.2020, 12:45)
Am 06.05.2020 um 17:11 schrieb Jack.Ryan:

> Xiaomi hat offenbar ein ernsthaftes Problem mit dem Datenschutz. Um
> persönliche Daten an den Hersteller zu schicken, braucht es nicht mal
> ein Gerät von ihm.


Da stellt sich mir die Frage, warum Samsung-Smartphones alle wichtigen
Google-Apps durch eigene ersetzen möchte. Die sind sicher nicht nur
selbstlos...

FW
Bernd Froehlich (08.05.2020, 09:28)
On 7. May 2020 at 12:45:40 CEST, ""F. W."" <me> wrote:

> Da stellt sich mir die Frage, warum Samsung-Smartphones alle wichtigen
> Google-Apps durch eigene ersetzen möchte. Die sind sicher nicht nur
> selbstlos...


Ähm, Du hast schon mitbekommen, dass sie kein Google mehr benutzen dürfen?
Das hat der Orange Utan verboten.
Chris Bintz (08.05.2020, 16:11)
Am 08.05.2020 um 09:28 schrieb Bernd Froehlich:
[..]
Bernd Froehlich (09.05.2020, 11:39)
On 8. May 2020 at 16:11:01 CEST, "Chris Bintz" <kma-nospam> wrote:

> Ähh nein. Das ist Huawei - nicht Samsung!


Ups, sorry. Danke für´s Korrekturlesen :-)
F. W. (11.05.2020, 09:02)
Am 08.05.2020 um 09:28 schrieb Bernd Froehlich:
> On 7. May 2020 at 12:45:40 CEST, ""F. W."" <me> wrote:


>> Da stellt sich mir die Frage, warum Samsung-Smartphones alle
>> wichtigen Google-Apps durch eigene ersetzen möchte. Die sind sicher
>> nicht nur selbstlos...


> Ähm, Du hast schon mitbekommen, dass sie kein Google mehr benutzen
> dürfen? Das hat der Orange Utan verboten.


Das ist Huawei. Samsung sind die guten Spione.

Meine S6 und S7 sind genau deshalb in die Bucht gegangen. Es gibt nur
einen Grund, warum Samsung so viele Google-Apps durch eigene ersetzt:
Spionage. Samsung will in Deinen Terminkalender gucken, Deine Fotos
betrachten und sehen, was Du so im Web treibst.

Warum das erlaubt ist? Samsung sind die guten Spione.

FW
Ähnliche Themen