Der chinesische Hersteller Xiaomi ist aufgefallen, weil seine Smartphones im Browser die Nutzer tracken und den Surfverlauf sowie weitere Daten an chinesische Server übertragen.
Anzeige
Ich hatte es vorige Woche bereits in mehreren Meldungen gesehen – heise hat es z.B. in diesem Artikel thematisiert. Der nachfolgende Tweet greift das auf – die Erstmeldung kam wohl über Forbes.
So Xiaomi just released a blog post about them not recording anything in incognite mode. Why do they have this flag inside the stuff they exfiltrate then?
cc @cybergibbons pic.twitter.com/EJRAfkjaH0
— Gabriel Cîrlig (@hookgab) May 1, 2020
Der Sicherheitsforscher Gabi Cirlig ist auf eine unschöne Sache gestoßen. Cirlig war aufgefallen, dass sein Smartphone Redmi Note 8 vieles von dem, was er mit dem Gerät tat, trackte und an externe Webserver weiter meldete.
Xiaomi-Standardbrowser spioniert
Als er sich mit dem Xiaomi-Standardbrowser des Geräts im Internet surfte, zeichnete die App den URL-Verlauf aller besuchten Websites auf. Das umfasste auch alle Suchmaschinenanfragen, ob mit Google oder auf datenschutzfreundlichen Seiten wie DuckDuckGo. Zudem wurde jeder Artikel, der in einer Nachrichten-Feed-Funktion der Xiaomi-Software angesehen wurde, getrackt. Die Browser-App zeichnete die Daten sogar im privaten "Inkognito"-Modus des Browsers auf.
Anzeige
Das Redmi Note 8 zeichnete auch auf, welche Ordner er öffnete und auf welche Startseiten und App-Seiten er wechselte und umfasste sogar die Statusleiste und die Einstellungsseite. Alle Daten wurden gepackt und an entfernte Server in Singapur und Russland geschickt, obwohl die dort gehosteten Web-Domains in Peking registriert waren.
Cirlig fand heraus, dass die Server von dem chinesischen Technikgiganten Alibaba gehostet und angeblich von Xiaomi gemietet wurden. Er war darauf gestoßen, dass Xiaomi über diese Apps seine Identität und sein Privatleben ausforschte.
Auch der Browser im Google Play Store schnüffelt
Im Auftrag von Forbes untersuchte der Cybersicherheitsforscher Andrew Tierney die Geschichte weiter. Tierney fand heraus, dass auch die von Xiaomi im Google Play Store eingestellten Browser wie der Mi Browser Pro und der Mint Browser die gleichen Daten sammelten. Zusammen haben sie laut den Statistiken von Google Play mehr als 15 Millionen Downloads.
Xiaomi sieht kein Problem
Cîrlig vermutete, dass wesentlich mehr Xiaomi-Geräte betroffen seien. Xiaomi hat dann diesen Blog-Beitrag veröffentlicht. Zum 2. Mai 2020 hieß es noch:
Xiaomi has reviewed a recent article by Forbes on our privacy policies and believes the reporting to be misrepresentative of the facts. At Xiaomi, our users' privacy and security are of top priority. We strictly follow and are fully compliant with user privacy protection laws and regulations in the countries and regions we operate in.
Forbes wird die falsche Interpretation der Fakten vorgeworfen, der Hersteller spioniere nicht, sondern sei im Einklang mit den Regeln der jeweiligen Ländern. Hier ein übersetzter Auszug:
In allen globalen Märkten, in denen Xiaomi offiziell präsent ist, basieren alle gesammelten Nutzungsdaten auf der ausdrücklichen Erlaubnis und Zustimmung unserer Benutzer, um die bestmögliche Benutzererfahrung zu bieten, die Kompatibilität zwischen dem Betriebssystem und verschiedenen Anwendungen zu erhöhen sowie die Verpflichtung zum Schutz der Privatsphäre der Benutzer zu übernehmen. Zusätzlich stellen wir sicher, dass der gesamte Prozess anonym und verschlüsselt erfolgt. Die Sammlung aggregierter Nutzungsstatistikdaten wird für interne Analysen verwendet, und wir verknüpfen keine persönlich identifizierbaren Informationen mit diesen Daten. Darüber hinaus handelt es sich hierbei um eine übliche Lösung, die von Internetfirmen auf der ganzen Welt angewandt wird, um die allgemeine Benutzererfahrung verschiedener Produkte zu verbessern und gleichzeitig die Privatsphäre und Datensicherheit der Benutzer zu schützen.
Teilweise wurde glatt bestritten, dass der Browser im Inkognito-Mode Daten sammele, selbst als das von Forbes mit Videos demonstriert wurde. Zudem wären ja alle Daten anonymisiert. Dass da URLs übertragen werden, schien den Chinesen nicht befremdlich. Inzwischen musste Xiaomi zurückrudern – zum 3. Mai 2020 erschein ein Statusupdate:
Given our goal of providing world class secure services and products to all users, our next Mint Browser and Mi Browser software update will include an option in incognito mode for all users of both browsers to switch on/off the aggregated data collection, in an effort to further strengthen the control we grant users over sharing their own data with Xiaomi. The software updates will be submitted to Google Play for approval within today (May 3, GMT+8).
We believe this functionality, in combination with our approach of maintaining aggregated data in non-identifiable form, goes beyond any legal requirements and demonstrates our company's commitment to user privacy.
As always, Xiaomi welcomes users to participate in our product development and advancement. Listening to feedback from users and letting them take part in Xiaomi's future have been at the core of our company from the beginning.
Es wurde ein Software-Update für den Mint und Mi Browser angekündigt, welches die 'nie erfassten URLs' im Inkognito-Browser für den Benutzer 'deaktiviertbar' macht. Sorry für den künstlichen Satzstil, der der chinesischen Symantik geschuldet ist (gebe nie einen Fehler zu). Zum 4. Mai 2020 gab es dann ein weiteres Update:
By 01:30, May 4, GMT+8 in Beijing, the software updates had been available for our browser products including, preloaded Mi Browser, Mi Browser Pro on Google Play, and Mint Browser on Google Play.
The latest versions are: Mi Browser/Mi Browser Pro (v12.1.4), and Mint Browser (v3.4.3).
These software updates include an option in incognito mode for all users of both browsers to switch on/off the aggregated data collection.
Seit heute Früh sind die Browser-Updates im Google Play Store ausgerollt. Die Browser haben eine Option, um das Datensammeln im Inkognito-Modus abzuschalten.
Ich hatte schon in älteren Blog-Beiträgen darauf hingewiesen, dass die chinesischen Software-Entwickler in die Datenschutzfalle rauschen werden. Es klappt nicht, wenn ich auf einem Heimatmarkt agiere, in der alles und jeder getrackt wird – und dann die Software/Geräte für den internationalen Markt bereitstellen soll, wo restriktive Datenschutzmaßnahmen gelten. Die obigen Schlenker passen genau zu dieser Aussage. Daher waren und sind Xiaomi, Huawei & Co. Smartphones keine wirkliche Option für mich.
Ähnliche Artikel:
Sicherheitslücke in Millionen Xiaomi Smartphone-ROM
Xiaomi will Cloud-Nachrichtendienst optional machen
Telefonieren Xiaomi-Smartphones "nach Hause"?
Xiaomi-Smartphone kommt mit Cortana vorinstalliert
Sicherheitsinformationen (3.1.2020)
Anzeige
Naja, kommt jetzt nicht so überraschend bei chinesischen Herstellern! :-)
Im Ernst: üble Sache. Hatte mir überlegt ein Xiaomi Smartphone zuzulegen, aber mit so einer Nummer sind die raus.
Ganz üble Sache.
Wer bitte schön benutzt schon den Standardbrowser des Smartphone-Herstellers?
Oder Chrome! grhhh…. :-(
Selbst Schuld! Ignorance is bliss!
Opera oder Vivaldi nehmen! :-)
Dito! … und den Vivaldi auch auf dem PC/Tablett !
Ja, war aber schon (lange) vorab bekannt, das die vorinstallierten Apps von denen gerne mal Hause funken. Es gibt aber hier eine kleine Abhilfe bei Xiaomi:
https://github.com/Szaki/XiaomiADBFastbootTools/releases
Kleine Beschreibung hier:
https://www.android-hilfe.de/forum/xiaomi-allgemein.1692/anleitung-deinstallieren-von-system-apps-bloatware-ohne-root.889014.html
– Nach jedem System-Update ggf. 1x Prüfen / 1x erneut durchführen.
Oder man installiert gleich eine Custom-ROM, dann hat man auch Ruhe:
https://www.chinahandys.net/anleitung-xiaomi-eu-installieren/
https://www.xda-developers.com/tag/xiaomi/
https://forum.xda-developers.com/mi-mix
Falsch, die Frage sollte lauten: wer nutzt Firmware eines Herstellers aus einem totalitären Terror-Staat, das seine eigenen Bürger tötet, ganze Völkergruppen wegsperrt, die Totalüberwachung zur Perfektion treibt, immer wieder droht, in Nachbar-Demokratien einzumarschieren?
Leider lautet die Antwort: extrem viele, weil das Smartphone eben ein paar Euro billiger ist als z. B. ein europäisches Nokia mit Android One, produziert im "wahren China", wie es seine Bürger mit demokratischer Staatsform nennen.
Den meisten Leuten ist einfach nicht zu helfen. Geiz ist geil, und einige Dummuser stellen bestimmte Staaten mit anderen Rechts(!)staaten gleich.
Kommunistisch jederzeit infiltrierbare Hardware ist der absolute Kassenschlager und wird hier und in anderen Foren auch stets völlig urteilsfrei als ganz toll getestet. Toll!
Also an dieser stelle würde ich meinen Xiaomi ist dennoch einer der besseren Hersteller da sie es ihren Kunden erlauben den Bootlaoder zu entsperren, alles andere ist zweitrangig.
Wollt ihr Privatspeere installiert LineageOS, das gilt nicht nur für Xiaomi Gerete.
Man muss Xiaomi zu Gute halten, dass bereits am Wochenende ein Update herausgegeben wurde, wo man nun die "aggregierte Datensammlung" im Inkognito-Modus deaktivieren kann.
So schnell reagieren Google, Apple und Microsoft nicht, die sitzen Dinge auch gerne mal aus.
Das macht es aber auch nicht besser, denn das "Update" betrifft ja nur den Inkognito-Modus. Das Gerät selbst bleibt getrackt.
Ich persönlich finde das allgemein für eine große Sauerei, egal wer trackt! Das ständige senden von Daten verursacht Traffic auf Kosten des Benutzers. Schließlich bezahlt der Benutzer eine Flat für SEIN "Benutzererlebnis" und nicht für das des Geräteherstellers.
Moin,
wir werden die Chinesen nie verstehen……………..
Sie halten sich seit ewigen Zeiten für etwas besseres.
Also,lasst sie nicht an unsere Infrastruktur (G5) etc.
Hery
Liebe Leute, wo liegt das Problem?
VORAB – Ich habe solche Technik nicht.
Günter schreibt sinngemäß, dass er schon immer Bauchschmerzen mit chinesischer Technik hat. Dem möchte ich nicht widersprechen. Es ist aber sehr einseitig und so muss ich widersprechen. Das Motto muss lauten: "Entweder alle dürfen oder alle dürfen nicht." Das wird verletzt, weil die eine dürfen und die anderen nicht.
Das eigentliche Problem wird aber nicht – und das generell auch in dritten Medien – nicht benannt. Kurz stichpunktartige Fragen:
# Was sammeln die eigentlich und was wird denn übermittelt und wozu?
# Was passiert mit den eingesammelten Daten? (Hierzu mehrere Unterprobleme -ich lasse es mal).
# Wenn das Unternehmen die Geräte in der EU verkauft: Hält es die DSGVO ein? (Der Großteil der deutschen Unternehmen hält diese nicht ein -Motto je größer je mehr Mißbrauch).
# Was ist mit den "Geheimdiensten"?
# Was ist mit Fazebuk und Consorten. Wo ist die Waffengleichheit? Sind damit die großen US-Beherrscher, die Millardenden verdienen und keine Steuern zahlen die besseren Datenrauber?.
Es herrscht keine Waffengleichheit! Wieso sind die einen die "Guten" und die anderen die "Bösen". Das gibt es nicht.
Leute! = Mehr nachdenken – aber auch ein Virus wie COVID-19 wird an den Grundeinstellungen und an der Idiotie nichts ändern. Es wird alles so sein wie immer.
Bis auf den nächsten Blogbeitrag von Günter, über andere. NB – Amazon und Google sammeln saumäßig und zahlen keine Steuern und verdienen sich dumm und dämlich!
Smartphones dienen dazu, den Nutzer auszuspionieren, und mit den Daten werden dann Personen-Netzwerke abgebildet. Das kann zur politische Kontrolle genutzt werden.
In der Schweiz werden aktuell im Zusammenhang mit dem Corona-Virus Apps in Umlauf gebracht, die schlussendlich vermutlich auch nur zur politischen Kontrolle gebraucht werden.