Zwei IT-Sicherheitsforscher untersuchten im Auftrag des amerikanischen Wirtschaftsmagazins „Forbes“ unabhängig voneinander, wie sich Xiaomi-Smartphones mit Blick auf den Datenschutz verhalten. Und dabei fanden sie heraus, dass verschiedene Smartphones des chinesischen Herstellers – im konkreten Fall zum Beispiel das Redmi Note 8, das Mi 10 und das Mi Mix 3 – überraschend viele Daten ohne Zustimmung der Nutzer an den Hersteller senden. Zum Beispiel über den vorinstallierten Browser, aber auch über den in die Handys integrierten Musikplayer. Selbst wenn Nutzer den vermeintlich sicheren Inkognito-Modus einschalten, protokollieren Xiaomi-Smartphones laut „Forbes“-Bericht munter weiter das Surf- und Nutzungsverhalten. Schwerwiegene Vorwürfe.
Xiaomi-Smartphones protokollieren auch Porno-Sessions
IT-Experte Gabi Cirlig berichtet laut „Forbes“, dass Xiaomi die gesammelten Smartphone-Daten in einem Archiv gebündelt auf Servern im Ausland speichert. Die stehen in China, Russland oder Singapur und haben mit europäischem Datenschutz wenig bis nichts zu tun. Inwiefern auch die chinesische Regierung Zugriff auf diese Daten hat, ist unklar.
Cirlig berichtet weiter, dass auch im Inkognito-Modus durchgeführte Google-Suchen mit dem Begriff „Porn“ und Besuche auf der Porno-Webseite Pornhub auf den Servern gespeichert wurden. Dokumentiert ist dies auch in einem Video, das seit wenigen Tagen bei Youtube zu finden ist und schon fast 80.000 Aufrufe generierte. Veröffentlicht von „Forbes“-Redakteur Thomas Brewster.
Dieses Element von Youtube kann auf dieser reduzierten Version der Webseite nicht dargestellt werden.
jetzt ansehenSicherheitsexperten verurteilen Xiaomi-Praxis scharf
Ein zweiter von „Forbes“ zu Rate gezogener IT-Experte, zeigte sich ebenfalls alarmiert. Andrew Tierney sagte gegenüber dem Wirtschaftsmagazin: „Das Verhalten von Xiaomis Browser ist viel schlimmer als das jedes anderen Mainstream-Browsers, die ich untersucht habe. Viele von ihnen führen Analysen durch. Aber es geht grundsätzlich nur um die Nutzungsanalysen zum Beispiel nach Abstürzen.“
Ein Browser, der wie im Falle von Xiaomi auch URLs ohne ausdrückliche Zustimmung des Nutzers protokolliere – und das auch im privaten Browsermodus – sei das Schlimmste, was man sich aus sicherheitstechnischer Sicht überhaupt vorstellen könne. Wenig beruhigend: Tierney entdeckte nach eigenen Angaben auch, dass die im Google Play Store frei zugänglichen Xiaomi-Browser Mi Browser Pro und Mint Browser ganz ähnlich vorgehen.
Xiaomi reagiert und veröffentlicht Browser-Updates
Und genau an dieser Stelle setzt Xiaomi nun auch direkt an, um die Wogen zunächst einmal zu glätten. In der Nacht zu Montag veröffentlichte der Elektronik-Riese aus China ein Update für seine Browser-Produkte. Es umfasst den vorinstallierten Mi Browser und die im Google Play Store erhältlichen Browser Mi Browser Pro (Version 12.1.4) und Mint Browser (Version 3.4.3).
Die neuen Browser-Varianten beinhalten eine Option für alle Nutzer, die aggregierte Datensammlung im Inkognito-Modus ein- und auszuschalten. Ein wichtiger Schritt, der Xiaomi zwar positiv anzurechnen ist, der aber auch klar macht, dass bisher Daten gesammelt wurden, die nicht hätten gesammelt werden dürfen. Auch wenn Xiaomi betont, dass es sich nur um Daten in nicht identifizierbarer Form gehandelt habe.
Xiaomi weist die Vorwürfe zurück
In einer ersten Reaktion am Wochenende hatte sich Xiaomi noch überrascht gezeigt und die Erkenntnisse von „Forbes“ als falsch zurückgewiesen. „Bei Xiaomi haben Datenschutz und Sicherheit unserer Benutzer höchste Priorität. In den Ländern und Regionen, in denen wir tätig sind, halten wir uns strikt an die Gesetze und Vorschriften zum Schutz der Privatsphäre von Benutzern und halten diese vollständig ein“, heißt es in einem Blogpost des Unternehmens. Daten sammeln Xiaomi-Smartphpnes demnach nur nach Zustimmung der Nutzer – und zwar anonymisiert und verschlüsselt. Tiefergehende Browser-Daten übermittele man hingegen nicht an ausländische Server. Das oben gezeigte Video offenbart jedoch das Gegenteil.
Möglich ist übrigens auch, dass beim Starten von Apps auf Xiaomi-Smartphones Daten gesammelt und an ausländische Server übermittelt werden. Denn Sicherheitsforscherin Cirlic fand nach eigenen Angaben auch heraus, dass Xiaomi-Handys bei jedem Öffnen einer App Datenpakete an externe Server schicken. Was genau hier im Hintergrund der Smartphonenutzung passiert, ist aber noch unklar.