Dem chinesischen Smartphonehersteller Xiaomi wird vorgeworfen Nutzerdaten auszuspionieren und diese auf eigene Server zu übertragen. Ob Browserverlauf, Apps und andere Daten der Xiaomi-Apps. Sie alle finden sich auf den Xiaomi Servern wieder.
IT-Sicherheitsforscher decken Datenspionage auf
Der IT-Sicherheitsspezialist Gabriel Cîrlig gibt bekannt, dass das von ihm benutzte Smartphone Redmi Note 8 bei jeder Verwendung des Xiaomi Browsers jede besuchte Website an einen Server, welcher von Alibaba gehostet wird, übermittelt. Auch Eingaben in die Suchmaschinen bei Google und DuckDuck Go sowie Eingaben welche im Inkognito Modus erfolgen, fanden ihren Weg auf die Xiaomi-Server.
So Xiaomi just released a blog post about them not recording anything in incognite mode. Why do they have this flag inside the stuff they exfiltrate then? ???
— Gabriel Cîrlig (@hookgab) May 1, 2020
cc @cybergibbons pic.twitter.com/EJRAfkjaH0
Ebenfalls zeichnete das Smartphone auf, welche Ordner der Sicherheitsforscher geöffnet hatte, auf welchen Bildschirm er gewechselt ist sowie die Statusleiste und die Einstellungen. Alle Daten (Metadaten, Angaben zum Smartphone und zur Android Version, gleichbleibende Nutzererkennung) wurden an Remote-Server in Singapur und Russland gesendet obwohl die gehosteten Webdomains in Peking registriert waren.
Das Forbes Magazin bat einen weiteren Cybersicherheitsforscher, Andrew Tierney um weitere Untersuchungen. Dieser fand heraus, dass der Mi Browser Pro sowie der Mint Browser von Xiaomi (welche im Google Play Store zusammen mehr als 15 Millionen Downloads verzeichnen) dieselben Daten sammeln. Lt. Forscher Cirlig handelt es sich um ein ernstes Datenschutzproblem, welches Xiaomi aber bestreitet. Es scheint des Weiteren viel mehr Xiaomi Modelle zu betreffen als nur das Redmi Note 8. Er lud Firmware für andere Xiaomi Phones, u.a. das Mi 10, Redmi K20 und Mi MIX 3, herunter. Alle zeigten dieselben Datenschutzprobleme auf.
Want to see the @Xiaomi @XiaomiIndia @manukumarjain privacy issue in under 4 minutes?
— Cybergibbons (@cybergibbons) May 2, 2020
This demo should illustrate the problem.
It’s undeniable. This is detailed browsing history, tied to me, sent from Incognito mode.
What’s your take?https://t.co/BxDDRvk9uo
Laut Xiaomi werden die Daten mit Zustimmung der Nutzer verschlüsselt übertragen, um die Privatsphäre der Nutzer zu schützen, doch der Sicherheitsforscher entschlüsselte die Codierung (base64) schnell und konnte so alle gesammelten Informationen umwandeln.
Mittlerweile gibt es von Xiaomi eine Stellungnahme gegenüber Forbes. Erst nannte man die Anschuldigungen unzutreffend, da Privatsphäre für Xiaomi sehr wichtig sei und man sich an alle gesetzlichen Bestimmungen halte. Ein Unternehmenssprecher bestätigt jedoch, dass diese Daten gesammelt werden, jedoch anonymisiert und vom Nutzer zugestimmt. Laut Xiaomi werden bei der Nutzung im Inkognito Modus keine Daten gesammelt beziehungsweise übertragen, dies kann jedoch von den beiden Sicherheitsforschern per Video widerlegt werden.
Blog-Beitrag/Stellungnahme von Xiaomi
In einem eigenen Blog-Eintrag verweist Xiaomi nun auf ein in Kürze kommendes Update für die Xiaomi-Browser Apps Mi Browser Pro und Mint Browser (Die neuesten Versionen sind: Mi Browser / Mi Browser Pro (v12.1.4) und Mint Browser (v3.4.3).
Dabei sollen Nutzer dann die Möglichkeit des Opt.-Out für die Datenübertragung zum Hersteller haben. Damit soll die Kontrolle der Nutzer über das Teilen der Daten weiter gestärkt werden.
Ebenfalls zu lesen ist, dass man Daten nur mit der ausdrücklichen Zustimmung des Nutzers sammelt, diese Daten anonymisiert sind und die Übertragung per TLS 1.2 verschlüsselt ist. Die Browser URL wird aufgezeichnet, um langsam ladende Websites zu identifizieren und so die Performance zu verbessern. Nutzungsdaten würden per Zufallswert erzeugt und seien daher nicht nachverfolgbar (auf den Vorwurf des Forschers Cirlig „die UUID bleibt immer gleich“ wird nicht eingegangen). Das Übertragen der Browser History wird von Xiaomi Data-Sync genannt welche nur aktiv ist, wenn der Nutzer mit seinem Mi-Konto angemeldet ist und die Funktion in den Einstellungen aktiv ist. Angeblich wäre Data-Sync im Inkognito Modus nicht aktiv, es werden jedoch weiterhin statistische Nutzungsdaten übertragen, u.a. auch die URL.