Xiaomi-Smartphones spionieren Nutzer aus: So können Sie sich schützen

Der IT-Sicherheitsexperte Gabriel Cirlig hat auf Twitter aufgezeigt, dass der chinesische Konzern das Nutzerverhalten genauestens aufzeichnet und im Anschluss an von Alibaba gehostete Server Xiaomis in Singapur und Russland sendet.

Demnach wurden beim Redmi Note 8 des IT-Spezialisten jeder Webseiten-Besuch, jede im Xiaomi-Newsfeed eingesehene Nachricht und jede Eingabe in Suchmaschinen bei den Browser-Apps des Herstellers an die Server übermittelt. Es wird befürchtet, dass auch andere Xiaomi-Modelle betroffen sind, die auf die selben Browser-Codes setzen. Dazu gehören: Xiaomi Mi 10, Xiaomi Redmi K20 sowie das Xiaomi Mi MIX 3.

Besonders dreist: Offenbar wurden die Daten selbst dann aufgezeichnet und weitergeleitet, wenn der Nutzer den Inkognito-Modus im Browser aktiviert hatte.

Zusätzlich zum Nutzerverhalten wurden wohl auch die Angaben zum jeweiligen Smartphone samt Android-Version sowie eine unveränderliche Nutzerkennung übertragen. Mittels dieser Daten könnten Nutzer wohl eindeutig identifiziert werden, so der IT-Experte.

Doch damit nicht genug: Wie im Code der Xiaomi-Apps ersichtlich ist, werden sogar die in den Musik-Apps abgespielten Songs und Alben inklusive der Abspielzeit aufgezeichnet. Auch angeklickte Ordner und vorgenommene Einstellungen wurden offenbar übermittelt, wie der Forscher gegenüber Forbes berichtet.

Hinzu kommt: Bei der Übertragung der Daten soll Xiaomi bei der Verschlüsselung geschlampt haben. Die genutzte Methode wird von Cirlig als "leicht zu knacken" beschrieben. Er konnte die Daten offenbar innerhalb weniger Sekunden entschlüsseln.

Der Cybersecurity-Experte Andrew Tierney ging der Sache im Auftrag von Forbes noch etwas genauer nach. Er fand heraus, dass die Xiaomi-Browser Mi Browser Pro und Mint Browser, die im Google Play Store heruntergeladen werden können, die selben Daten sammeln. Beide Apps wurden insgesamt weltweit rund 15 Millionen Mal heruntergeladen.

Xiaomi hat sich inzwischen zu den Vorwürfen geäußert - verstrickt sich dabei aber offenbar in Widersprüche. Zugegeben wird zwar, dass Browser-History gesammelt und analysiert werde - dies geschehe jedoch komplett anonymisiert. Dass dies auch im Inkognito-Modus passiere, sei jedoch falsch, so Xiaomi. Hier werden lediglich "statistische Nutzungsdaten", wie etwa die URL, übertragen.

Die Datenübertragung auch inkognito konnte von den Sicherheitsforschern in Videos und Auszügen aus Codes jedoch nachgewiesen werden - trotzdem behauptet Xiaomi weiterhin, dass die Daten nicht gespeichert werden. Nutzerdaten würden außerdem nur dann gesammelt werden, wenn eine ausdrückliche Zustimmung der Nutzer vorläge. Browser-Daten würden vor allem dafür genutzt, um langsame Webseiten zu identifizieren, was letztlich die Perfomance steigern soll. Das übertragen der Browser-History würde außerdem nur dann von Statten gehen, wenn der User in seinem Xiaomi-Konto angemeldet ist und der Übertragung in den Settings ausdrücklich zugestimmt hat.

Zu den Vorwürfen bezüglich Musik-Geschmack, App-Einstellungen und Co. äußert sich der Hersteller nicht.

Inzwischen gab Xiaomi bekannt, dass Nutzer der Datensammlung künftig jedoch Einhalt gebieten können: In den neuesten Updates für Mi Browser und Mint Browser können User die aggregierte Datensammlung im Inkognito-Mode komplett abschalten. Die neuesten Versionen Mi Browser/Mi Browser Pro (v12.1.4), und Mint Browser (v3.4.3) sind bereits ausgerollt wurden und können nun auch im Google Play Store heruntergeladen werden.

Wie Cirlig in einem neuen Tweet berichtet, muss der "Enhanced Incognito Mode" in den Einstellungen jedoch wider Erwarten deaktiviert werden, wenn man seine Privatsphäre schätzt.