{"id":231292,"date":"2020-05-04T08:30:25","date_gmt":"2020-05-04T06:30:25","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=231292"},"modified":"2022-06-26T10:42:24","modified_gmt":"2022-06-26T08:42:24","slug":"xiaomi-smartphones-und-die-nutzer-spionage","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/05\/04\/xiaomi-smartphones-und-die-nutzer-spionage\/","title":{"rendered":"Xiaomi-Smartphones und die Nutzer-Spionage"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Der chinesische Hersteller Xiaomi ist aufgefallen, weil seine Smartphones im Browser die Nutzer tracken und den Surfverlauf sowie weitere Daten an chinesische Server \u00fcbertragen. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg07.met.vgwort.de\/na\/7a80a38226794f77b8f9d4cbf24e62be\" width=\"1\" height=\"1\"\/>Ich hatte es vorige Woche bereits in mehreren Meldungen gesehen \u2013 heise hat es z.B. in <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Bericht-Xiaomi-Smartphones-spionieren-ihre-Benutzer-aus-4713428.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> thematisiert. Der nachfolgende Tweet greift das auf \u2013 die Erstmeldung kam wohl <a href=\"https:\/\/www.forbes.com\/sites\/thomasbrewster\/2020\/04\/30\/exclusive-warning-over-chinese-mobile-giant-xiaomi-recording-millions-of-peoples-private-web-and-phone-use\/#152254de1b2a\" target=\"_blank\" rel=\"noopener noreferrer\">\u00fcber Forbes<\/a>. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">So Xiaomi just released a blog post about them not recording anything in incognite mode. Why do they have this flag inside the stuff they exfiltrate then? <\/p>\n<p>cc <a href=\"https:\/\/twitter.com\/cybergibbons?ref_src=twsrc%5Etfw\">@cybergibbons<\/a> <a href=\"https:\/\/t.co\/EJRAfkjaH0\">pic.twitter.com\/EJRAfkjaH0<\/a><\/p>\n<p>\u2014 Gabriel C\u00eerlig (@hookgab) <a href=\"https:\/\/twitter.com\/hookgab\/status\/1256277599812231171?ref_src=twsrc%5Etfw\">May 1, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Der Sicherheitsforscher Gabi Cirlig ist auf eine unsch\u00f6ne Sache gesto\u00dfen. Cirlig war aufgefallen, dass sein Smartphone Redmi Note 8 vieles von dem, was er mit dem Ger\u00e4t tat, trackte und an externe Webserver weiter meldete. <\/p>\n<h2>Xiaomi-Standardbrowser spioniert<\/h2>\n<p>Als er sich mit dem Xiaomi-Standardbrowser des Ger\u00e4ts im Internet surfte, zeichnete die App den URL-Verlauf aller besuchten Websites auf. Das umfasste auch alle Suchmaschinenanfragen, ob mit Google oder auf datenschutzfreundlichen Seiten wie DuckDuckGo. Zudem wurde jeder Artikel, der in einer Nachrichten-Feed-Funktion der Xiaomi-Software angesehen wurde, getrackt. Die Browser-App zeichnete die Daten sogar im privaten \"Inkognito\"-Modus des Browsers auf. <\/p>\n<p>Das Redmi Note 8 zeichnete auch auf, welche Ordner er \u00f6ffnete und auf welche Startseiten und App-Seiten er wechselte und umfasste sogar die Statusleiste und die Einstellungsseite. Alle Daten wurden gepackt und an entfernte Server in Singapur und Russland geschickt, obwohl die dort gehosteten Web-Domains in Peking registriert waren.<\/p>\n<p>Cirlig fand heraus, dass die Server von dem chinesischen Technikgiganten Alibaba gehostet und angeblich von Xiaomi gemietet wurden. Er war darauf gesto\u00dfen, dass Xiaomi \u00fcber diese Apps seine Identit\u00e4t und sein Privatleben ausforschte.<\/p>\n<h2>Auch der Browser im Google Play Store schn\u00fcffelt<\/h2>\n<p>Im Auftrag von Forbes untersuchte der Cybersicherheitsforscher Andrew Tierney die Geschichte weiter. Tierney fand heraus, dass auch die von Xiaomi im Google Play Store eingestellten Browser wie der Mi Browser Pro und der Mint Browser die gleichen Daten sammelten. Zusammen haben sie laut den Statistiken von Google Play mehr als 15 Millionen Downloads.<\/p>\n<h2>Xiaomi sieht kein Problem<\/h2>\n<p>C\u00eerlig vermutete, dass wesentlich mehr Xiaomi-Ger\u00e4te betroffen seien. Xiaomi hat dann <a href=\"https:\/\/blog.mi.com\/en\/2020\/05\/02\/live-post-evidence-and-statement-in-response-to-media-coverage-on-our-privacy-policy\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Blog-Beitrag<\/a> ver\u00f6ffentlicht. Zum 2. Mai 2020 hie\u00df es noch:<\/p>\n<blockquote>\n<p>Xiaomi has reviewed a recent article by <i>Forbes<\/i> on our privacy policies and believes the reporting to be misrepresentative of the facts. At Xiaomi, our users' privacy and security are of top priority. We strictly follow and are fully compliant with user privacy protection laws and regulations in the countries and regions we operate in.<\/p>\n<\/blockquote>\n<p>Forbes wird die falsche Interpretation der Fakten vorgeworfen, der Hersteller spioniere nicht, sondern sei im Einklang mit den Regeln der jeweiligen L\u00e4ndern. Hier ein \u00fcbersetzter Auszug:<\/p>\n<blockquote>\n<p>In allen globalen M\u00e4rkten, in denen Xiaomi offiziell pr\u00e4sent ist, basieren alle gesammelten Nutzungsdaten auf der ausdr\u00fccklichen Erlaubnis und Zustimmung unserer Benutzer, um die bestm\u00f6gliche Benutzererfahrung zu bieten, die Kompatibilit\u00e4t zwischen dem Betriebssystem und verschiedenen Anwendungen zu erh\u00f6hen sowie die Verpflichtung zum Schutz der Privatsph\u00e4re der Benutzer zu \u00fcbernehmen. Zus\u00e4tzlich stellen wir sicher, dass der gesamte Prozess anonym und verschl\u00fcsselt erfolgt. Die Sammlung aggregierter Nutzungsstatistikdaten wird f\u00fcr interne Analysen verwendet, und wir verkn\u00fcpfen keine pers\u00f6nlich identifizierbaren Informationen mit diesen Daten. Dar\u00fcber hinaus handelt es sich hierbei um eine \u00fcbliche L\u00f6sung, die von Internetfirmen auf der ganzen Welt angewandt wird, um die allgemeine Benutzererfahrung verschiedener Produkte zu verbessern und gleichzeitig die Privatsph\u00e4re und Datensicherheit der Benutzer zu sch\u00fctzen.<\/p>\n<\/blockquote>\n<p>Teilweise wurde glatt bestritten, dass der Browser im Inkognito-Mode Daten sammele, selbst als das von Forbes mit Videos demonstriert wurde. Zudem w\u00e4ren ja alle Daten anonymisiert. Dass da URLs \u00fcbertragen werden, schien den Chinesen nicht befremdlich. Inzwischen musste Xiaomi zur\u00fcckrudern \u2013 zum 3. Mai 2020 erschein ein <a href=\"https:\/\/blog.mi.com\/en\/2020\/05\/02\/live-post-evidence-and-statement-in-response-to-media-coverage-on-our-privacy-policy\/\" target=\"_blank\" rel=\"noopener noreferrer\">Statusupdate<\/a>:<\/p>\n<blockquote>\n<p>Given our goal of providing world class secure services and products to all users, our next Mint Browser and Mi Browser software update will include an option in incognito mode for all users of both browsers to switch on\/off the aggregated data collection, in an effort to further strengthen the control we grant users over sharing their own data with Xiaomi. The software updates will be submitted to Google Play for approval within today (May 3, GMT+8).  <\/p>\n<p>We believe this functionality, in combination with our approach of maintaining aggregated data in non-identifiable form, goes beyond any legal requirements and demonstrates our company's commitment to user privacy.&nbsp; <\/p>\n<p>As always, Xiaomi welcomes users to participate in our product development and advancement. Listening to feedback from users and letting them take part in Xiaomi's future have been at the core of our company from the beginning.<\/p>\n<\/blockquote>\n<p>Es wurde ein Software-Update f\u00fcr den Mint und Mi Browser angek\u00fcndigt, welches die 'nie erfassten URLs' im Inkognito-Browser f\u00fcr den Benutzer 'deaktiviertbar' macht. Sorry f\u00fcr den k\u00fcnstlichen Satzstil, der der chinesischen Symantik geschuldet ist (gebe nie einen Fehler zu). Zum 4. Mai 2020 gab es dann ein weiteres Update:  <\/p>\n<blockquote>\n<p>By 01:30, May 4, GMT+8 in Beijing, the software updates had been available for our browser products including, preloaded Mi Browser, Mi Browser Pro on Google Play, and Mint Browser on Google Play.  <\/p>\n<p>The latest versions are: Mi Browser\/Mi Browser Pro (v12.1.4), and Mint Browser (v3.4.3).  <\/p>\n<p>These software updates include an option in incognito mode for all users of both browsers to switch on\/off the aggregated data collection.<\/p>\n<\/blockquote>\n<p>Seit heute Fr\u00fch sind die Browser-Updates im Google Play Store ausgerollt. Die Browser haben eine Option, um das Datensammeln im Inkognito-Modus abzuschalten.  <\/p>\n<blockquote>\n<p>Ich hatte schon in \u00e4lteren Blog-Beitr\u00e4gen darauf hingewiesen, dass die chinesischen Software-Entwickler in die Datenschutzfalle rauschen werden. Es klappt nicht, wenn ich auf einem Heimatmarkt agiere, in der alles und jeder getrackt wird \u2013 und dann die Software\/Ger\u00e4te f\u00fcr den internationalen Markt bereitstellen soll, wo restriktive Datenschutzma\u00dfnahmen gelten. Die obigen Schlenker passen genau zu dieser Aussage. Daher waren und sind Xiaomi, Huawei &amp; Co. Smartphones keine wirkliche Option f\u00fcr mich. <\/p>\n<\/blockquote>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/><a href=\"https:\/\/borncity.com\/blog\/2016\/07\/12\/sicherheitslcke-in-millionen-xiaomi-smartphone-rom\/\">Sicherheitsl\u00fccke in Millionen Xiaomi Smartphone-ROM<\/a><br \/><a href=\"https:\/\/web.archive.org\/web\/20150602002342\/https:\/\/borncity.com\/blog\/2014\/08\/10\/xiaomi-will-cloud-nachrichtendienst-optional-machen\/\">Xiaomi will Cloud-Nachrichtendienst optional machen<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2014\/08\/02\/telefonieren-xiaomi-smartphones-nach-hause\/\">Telefonieren Xiaomi-Smartphones \"nach Hause\"?<\/a><br \/><a href=\"https:\/\/web.archive.org\/web\/20171123000600\/https:\/\/www.borncity.com:80\/blog\/2016\/11\/25\/xiaomi-smartphone-kommt-mit-cortana-vorinstalliert\/\">Xiaomi-Smartphone kommt mit Cortana vorinstalliert<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2020\/01\/03\/sicherheitsinformationen-3-1-2020\/\">Sicherheitsinformationen (3.1.2020)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der chinesische Hersteller Xiaomi ist aufgefallen, weil seine Smartphones im Browser die Nutzer tracken und den Surfverlauf sowie weitere Daten an chinesische Server \u00fcbertragen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-231292","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/231292","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=231292"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/231292\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=231292"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=231292"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=231292"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}