Xiaomi Datenverwendung
Xiaomi-Bashing: Was ist dran an den Spionage-Vorwürfen?

Xiaomi-Bashing: Was ist dran an den Spionage-Vorwürfen?

Smartphones aus dem Hause Xiaomi sollen das Benutzerverhalten aufzeichnen und sogar weiterleiten. Was ist dran an diesen Vorwürfen? Und wie agieren andere Smartphone-Hersteller? Wir werfen einen Blick auf den Markt und auf die Vorwürfe gegen Xiaomi.

Xiaomi: Die Vorwürfe gegen den Smartphone-Hersteller

Xiaomi, ein chinesischer Smartphone-Hersteller, sieht sich dem Vorwurf gegenüber, das Nutzerverhalten aufzuzeichnen und diese Daten weiterzuleiten. Das gilt insbesondere beim Surfen im World Wide Web: Der hauseigene Browser soll jede vom Nutzer besuchte Website aufzeichnen, einschließlich aller Eingaben in die Suchmaschine. Sogar im Inkognito-Modus sollen Nutzer nicht vor dieser Spionage gefeit sein. Einem Forbes-Artikel zufolge trete dieses Spionage-Verhalten auch bei weiteren Browser-Apps des Herstellers in Googles Play Store auf.

IT-Sicherheitsspezialist deckt auf

Gemäß dem Forbes-Artikel konnte der IT-Sicherheitsspezialist Gabriel Cîrlig folgendes aufdecken: Sein Xiaomi-Smartphone Redmi Note 8 übermittelte unter Nutzung des vorinstallierten Standardbrowsers sämtliche besuchten Websites an einen Xiaomi-Server in China, der von dem Internetkonzern Alibaba gehostet wird. Nicht nur die Sites, sondern auch die Suchmaschineneingaben, beispielsweise bei Google, aber auch bei DuckDuckGo, wurden übertragen. Dies blieb auch so, wenn Cîrlig den Inkognito-Modus des Browsers nutzte, der ja eigentlich Privatsphäre gewährleisten soll.

In jedem der von Cîrlig untersuchten Fälle wurden weitere Details übertragen: Angaben zum verwendeten Smartphone, aber auch zur Android-Version sowie eine immer gleichbleibende Nutzerkennung. Cîrlig befürchtet, dass diese Metadaten das eindeutige Identifizieren von Nutzern ermöglichen könnte. Daneben meldete Cîrligs Smartphone Details zur Nutzung an den Hersteller, beispielsweise welche Ordner Cîrlig öffnete, welche Apps geöffnet wurden oder wann der Sicherheitsexperte über den Bildschirm wischte. Verräterisch sei auch die Musik-App des Herstellers: Sie übertrage alle gespielten Titel einschließlich Zeitstempel.

Welche Geräte sind betroffen?

Der IT-Sicherheitsspezialist Cîrlig geht davon aus, dass mehrere Smartphone-Modelle betroffen sein können. Offenbar enthalten die Modelle Mi 10, Mi MIX 30 sowie Redmi K20 denselben Browsercode.

Das Forbes-Magazin bat einen weiteren Sicherheitsspezialisten, Andrew Tierney, um eine Einschätzung. Ihm zufolge zeigen die Xiaomi-Browser-Apps Mi Browser Pro und Mint Browser, beide in Googles Play Store erhältlich, ein ähnliches Verhalten.

Xiaomi reagiert mit Opt-out-Möglichkeit

Xiaomi reagierte zunächst nicht sehr geschickt auf die Vorwürfe: Der Konzern nannte die Vorwürfe zunächst „unzutreffend“. Das Unternehmen nehme die Privatsphäre sehr ernst und man halte sich an sämtliche gesetzliche Bestimmungen. Jedoch musste ein Unternehmenssprecher einräumen, dass Daten gesammelt würden. Er betonte jedoch, dass diese Daten anonymisiert seien, außerdem hätten die Nutzer dieser Datenerhebung zugestimmt. Weiter blieb Xiaomi bei der Aussage, im Inkognito-Modus würden keine Daten übertragen werden – ein Widerspruch zu den Entdeckungen Cîrligs und Tierneys, die per Video dokumentiert wurden.

Xiaomi möchte Nutzerrechte stärken

In einem recht ausführlichen Blogbeitrag reagierte der chinesische Hersteller dann doch umfassender. Durch einen Zusatz macht Xiaomi auf ein Update aufmerksam, mit dem die Browser-Apps eine Opt-out-Möglichkeit für die Datenübertragung im Inkognito-Modus erhalten sollen. Xiaomi möchte so „die Kontrolle der Nutzer über das Teilen ihrer Daten weiter stärken“.

Xiaomi nutzt diesen Blogbeitrag auch, um erneut zu betonen, dass man Daten nur mit ausdrücklicher Zustimmung des Nutzers sammle. Die Daten seien darüber hinaus anonymisiert, die Übertragung mittels TLS 1.2 verschlüsselt. Zwar werde die Browser-URL aufgezeichnet, jedoch um die Browser-Performance zu optimieren und langsam ladende Sites zu identifizieren.

Weiter erfasse man anonymisierte Daten zum Optimieren der Nutzererfahrung. Dazu zählten beispielsweise Systeminformationen, Absturzberichte, aber auch Einstellungen und Reaktionsfähigkeiten. Xiaomi verwende diese Daten ausschließlich für interne Analysen. Das Erfassen in aggregierter Form sorge dafür, dass keine Rückschlüsse auf einzelne Nutzer möglich seien.

Auf Cîrligs Hinweis, dass die User-ID (UUID, unique token) immer gleichbleibe, geht Xiaomi in dem Beitrag nicht direkt ein, erwähnt jedoch, dass der unique token per Zufallswert erzeugt werde und keine Rückschlüsse auf den Nutzer möglich seien.

“Data-Sync“-Funktion

Es sei der „Data-Sync“-Funktion des Browsers geschuldet, dass die Browser-Historie übertragen werde, erklärt Xiaomi weiter. Unter zwei Bedingungen sei diese Funktion aktiv: Die Funktion müsse in den Einstellungen aktiviert werden und der Nutzer müsse mit seinem Mi-Account eingeloggt sein. Die Sync-Funktion sei im Inkognito-Modus grundsätzlich deaktiviert. „Statistische Nutzerdaten“ würden jedoch auch im Inkognito-Modus übertragen; darunter falle auch die besuchte URL.

Mittlerweile stehen Updates für die Xiaomi-Browser bereit. Damit kam eine Funktion, die es ermöglicht, selbst der aggregierten Datensammlung im Inkognito-Modus zu widersprechen. Per An/Aus-Schalter funktioniert das im Mi Browser (Pro) ab Version 12.1.4 und im Mint Browser ab Version 3.4.3.

Ist Xiaomi eine Ausnahme?

Xiaomi ist bekannt als Smartphone-Hersteller, der günstige Mittelklassegeräte anbietet und damit auch hierzulande sehr erfolgreich wächst. Ist das Ausspionieren nun speziell ein Thema, das Hersteller wie Xiaomi trifft? Was machen beispielsweise Apple und Samsung mit ihren jeweiligen Smartphones?

Apple wirbt mit Privatsphäre

Inmitten der Corona-Pandemie wäre es ideal, würden die Menschen so oft wie möglich zuhause bleiben. Um Erfolge dieser Ausgangsbeschränkung sichtbar zu machen, hat Apple Mobilitätstrends aus dem hauseigenen Kartendienst veröffentlicht. Es werden Daten seit 13. Januar 2020 dargestellt. Basis dieser Daten bilden Anfragen nach Wegbeschreibungen in den Apple-Karten. Einzelstädte werden sogar nach Fuß- und Autoverkehr aufgeschlüsselt, zuweilen liegen auch Daten für den öffentlichen Nahverkehr vor.

Um Rückschlüsse auf Einzelnutzer zu verhindern, verknüpft Apple die Daten (z. B. Navigationsrouten, Suchbegriffe oder Verkehrsinformationen) mit einer zufälligen Kennung. Neben Apple veröffentlichte auch Google Mobilitätstrends. Der Internetriese wertet dafür anonymisierte Daten von Nutzern aus, die Google erlauben, ihre Aufenthaltsorte aufzuzeichnen.

Apple möchte mit den aus den Maps-Anfragen generierten Mobilitätsdaten die Ausbreitung von COVID-19 verhindern helfen. Gesundheitsbehörden könnten die Daten dafür nutzen, weitere Möglichkeiten zum Eindämmen des Virus zu erarbeiten.

Welche Daten sammelt Apple?

Zusammen mit einigen Updates gingen im Herbst vorigen Jahres neue Datenschutzbedingungen einher, die Apple auf seiner Privacy-Site darstellt. Hier ist beispielsweise folgendes zu lesen:

  • Apple-Browser Safari: Safari inkludiert einen Tracking-Schutz, der auch Social Widgets daran hindert, mit Datensammlungen Profile zu erstellen. Suchen Nutzer im Safari-Adressfeld nach bestimmten Suchbegriffen, werden diese, jedoch keine Cookies weitergeleitet.
  • Karten: Karten-Apps wie die von Google oder Apple leben von Nutzerdaten: Echtzeitverkehrsinformationen, aber auch Routenplanung sowie POI-Empfehlungen basieren auf Anwendern und ihren Daten. Apple verspricht in seinen Privacy-Seiten, Orte der Suchanfragen zu verschleiern. Per Zufallsprinzip werden Identifier vergeben – und zwar für jede Fahrt neu, um Rückschlüsse auf Einzelnutzer zu verhindern. Individuelle und persönliche Daten wie der Fahrzeug-Standort werden lokal auf dem Gerät gespeichert.
  • Ortsinfos: Seit iOS 13 müssen Apps bei ihrem ersten Aufruf fragen, ob sie Daten sammeln dürfen. Es besteht die Option für den Nutzer, der App einmalig den Zugriff auf den Standort zu erlauben. Vorteil: Die App kann durch den Nutzer erst mal in Ruhe auf Tauglichkeit geprüft werden. Apple verpflichtet Entwickler dazu, dass ihre Apps auf Anfrage anzeigen müssen, wann und wo der Standort ermittelt wurde.
  • Fotos: Apple bevorzugt häufig lokales Agieren, so auch bei der Foto-App. Das Erkennen von Gesichtern oder Gegenständen findet lokal auf dem Gerät statt. Sind nun alle Fotos nach Personen sortiert und der Nutzer steigt auf ein neues iPhone um, lassen sich die Ergebnisse zwischen den Geräten synchronisieren. Diese Synchronisation findet Ende-zu-Ende-verschlüsselt statt, auf den Unternehmensservern wird nichts gespeichert. Sollen Fotos geteilt werden, kann der Nutzer entscheiden, welche Metadaten weitergegeben werden. Drittanbieter-Apps dürfen zwar Bilder der Bibliothek hinzufügen, erlangen jedoch keine Einsicht auf bisher gespeicherte Medien.
  • Messaging: Fürs Messaging verspricht Apple Ende-zu-Ende-Verschlüsselung, außerdem werden keine Facetime-Chat-Inhalte auf Apple-Servern gespeichert. Anders ist das mit iCloud-Backups dieser Konversationen: Apple müsste, käme es zu einer richterlichen Anordnung, den Strafverfolgungsbehörden Zugriff auf die iCloud-Backups gewähren. Nutzer haben jedoch die Möglichkeit, diese Backups zu deaktivieren.
  • Siri: Siri war, neben anderen Sprachassistenzsystemen, vielfacher Kritik ausgesetzt, da Apple Siri-Konversationen durch Mitarbeiter überprüfen ließ. Mit dem Update auf iOS 13.2 bzw. 13.2 fürs iPad wurde diese Lauscherei „Audio-Sharing“ genannt. Beim Einrichten des iDevices haben Nutzer die Möglichkeit, dieses „Audio-Sharing“ zu unterbinden, Nutzer können sich auch später noch gegen das Mitlauschen entscheiden.
  • Apple Pay & Health: Mit diesen Apps gehen sehr sensible Daten – Zahlungs- sowie Gesundheitsdaten – einher. Auch hier verfolgt Apple das „On-Device-Processing“, belässt also viel Computing auf dem jeweiligen Gerät. Apple Pay sei laut Apple so anonym, dass lediglich das Kreditkarteninstitut wisse, wo der Nutzer für wie viel eingekauft hat. Weder Apple noch der betreffende Online-Shop erfahren etwas vom sonstigen Kaufverhalten des Nutzers. Die Health-App dient als Zentrale für die Daten anderer Gesundheitsanwendungen. Die Daten werden verschlüsselt lokal gespeichert, sodass der Nutzer bestimmt, wer Einsicht in diese Daten erhält.
  • Apple-ID: Zugegeben: Sich mit einem Account, etwa dem Google-Account, für viele Dienste registrieren zu können, ist praktisch, braucht man sich doch nur einen Login zu merken. Google, um bei diesem Beispiel zu bleiben, nutzt jedoch die dabei entstehenden Daten für Werbung. Die Apple-ID möchte dem was entgegensetzen: Nutzer entscheiden frei, ob sie beim Login ihren echten Namen und ihre E-Mail-Adresse verraten oder ein anonymisiertes Alias verwenden wollen. Die Nutzer können durch Anbieter kontaktiert werden, ohne dass diese Rückschlüsse auf ihre Identität oder weitere Aktivitäten erhalten.

Samsung mit Sicherheitsproblemen

Auch Samsung gehört zu den beliebtesten Smartphone-Herstellern. Doch fallen die Smartphones immer mal wieder durch Sicherheitslücken auf. So wurde Anfang Mai 2020 eine gravierende Sicherheitslücke entdeckt, die es ermöglichte, Daten abzugreifen. Die IT-Sicherheitsforscherin Jiska Classen entdeckte die Sicherheitslücke, die bereits bestand, als das millionenfach verkaufte Gerät in den europäischen Handel kam. Betroffen ist der Bluetooth-Chip vom Samsung Galaxy 8, aber auch die Modelle Galaxy S8+ und Note 8 sind betroffen. Es fehlt der Mechanismus, der Verbindungen zweier Bluetooth-Geräte verschlüsselt.

Die Lücke ermöglicht es, dass sich Hacker in die Bluetooth-Verbindung einklinken können, um alle übertragenen Daten zu entziffern. Nicht nur Musik, sondern auch sensible und persönliche Daten lassen sich per Bluetooth übertragen. So wäre es beispielsweise möglich, dass Hacker Passwörter oder Nachrichten über eine Bluetooth-Tastatur mitschneiden. Selbstredend lassen sich auch Gespräche abhören oder die Daten von über Bluetooth verbundenen Fitnesstrackern abziehen. Da physische Nähe zum Opfer-Smartphone notwendig ist, ist keine Massenüberwachung durch diese Sicherheitslücke möglich. Gezielte Angriffe sind jedoch denkbar.

Ein Samsung-Sprecher erklärte: „Wir empfehlen unseren Kunden ihre Geräte-Software stets aktuell zu halten, um ihr Gerät so gut wie möglich zu schützen“. Ungut nur, dass es in diesem Fall um ein kleines Bauteil geht, welches sich nicht mittels Update nachrüsten lässt.

Samsungs „Device Care“ schickt Daten nach China

Auf den Smartphones und Tablets von Samsung hatte der Hersteller die App „Device Care“ vorinstalliert. Ein Nutzer schaute sich diese Funktion genauer an und stellte fest, dass Daten abgezogen werden. Seine Entdeckungen postete der Nutzer auf Reddit. Hinter der vorinstallierten und nicht entfernbaren App „Device Care“ verbirgt sich ein Speicherscanner der Firma Qihoo 360 aus China, deren zweifelhafter Ruf ihr vorauseilt.

Qihoo 360 fiel in der Vergangenheit vor allem durch Verwicklungen in Datenschutzskandale auf. Der Reddit-Nutzer kritisiert klar, dass es ein großes Risiko sei, solch eine dubiose Firma mit dem Speichern von Daten zu beauftragen. Weiter hieß es: „Der Speicherscanner auf deinem Gerät hat vollen Zugriff auf alle persönlichen Daten (weil er Teil des Systems ist) und würde diese Daten an die chinesische Regierung senden, wie es chinesische Gesetze und Regulierungen vorsehen“.

Tatsächlich enthüllt ein intensiverer Blick auf das Speichermodul, welches „Device Care“ nutzt, dass die App mit verschiedenen chinesischen Servern kommuniziert. Welche Daten jedoch übertragen werden, lässt sich nicht nachvollziehen.

Nachdem sich Samsung zunächst in Schweigen gehüllt hatte, teilte der Konzern gegenüber dem Magazin The Verge mit, dass man generische Informationen an Qihoo 360 sende, um den Speicher zu optimieren. So würden Daten zur Betriebssystemversion, zum Telefonmodell und zur verfügbaren Speicherkapazität gesendet. Weiter nutze die App eine Referenzbibliothek, damit Junk-Dateien identifiziert werden könnten.

Samsung hat, wie AndroidPolice berichtete, die Zusammenarbeit mit Qihoo 360 beendet; in der aktuellen App-Version existiert keine Verbindung mehr zu diesem Unternehmen. Nun wird auch der Button fürs automatische Bereinigen des Speichers nicht mehr angezeigt, der Nutzer muss das Samsung-Smartphone also manuell bereinigen. Da dies jedoch recht unkompliziert über das Menü („Speicher“ – „Speicher bereinigen“) funktioniert, ist das ein geringer Preis dafür, eigene Daten nun bei sich behalten zu können.

Xiaomi, Apple & Samsung: Wer macht’s besser?

Xiaomi und Samsung nehmen sich – bei Tageslicht betrachtet – nicht allzu viel: Beide Hersteller haben Daten an Dritte gesendet. Schwiegen sich die Hersteller zunächst aus oder warfen die Vorwürfe von sich, so zeigten sie sich dann doch einsichtig durch den Druck von außen, insbesondere von IT-Sicherheitsspezialisten und Datenschützern. Apple fährt hier gleich ein anderes Konzept: Alle Informationen und Daten bleiben idealerweise lokal beim Nutzer. Inwieweit das sehr abgeschlossene Apple-Ökosystem dann persönlich gefällt, ist natürlich Geschmackssache, dass offenere Android bringt hier schon Vorteile. Eben diese Abgeschlossenheit ist jedoch auch Teil des gut funktionierenden Sicherheitskonzepts von Apple.

Sind Datensammlungen grundsätzlich „böse“?

Grundsätzlich spricht nichts gegen das Sammeln von Daten – wenn es in einer Weise geschieht, die die Anonymität der Nutzer gewährleistet oder die Nutzer zumindest umfassend aufklärt, sodass diese eine Einwilligung abgeben oder sie ablehnen können.

So ist ein beliebter und absolut vertretbarer Zweck des Datensammelns die Verbesserung der eigenen Dienste. Dafür genügen jedoch anonymisierte Metadaten. Niemand benötigt zum Optimieren von Diensten personenbezogene Daten, die Rückschlüsse auf Individuen zulassen.

Häufig werden Daten auch gesammelt, um sie weiterzuverkaufen. Selten werden sie dafür anonymisiert, schließlich geht es ja um die puren Daten. Was passiert mit diesen Daten? Das ist sehr verschieden. Möglich sind beispielsweise maßgeschneiderte Profile für die Werbeindustrie. Einem Bericht von Deutschlandfunk ist zu entnehmen, dass Anschriften von Senioren, die sich für Luxusgüter interessieren, für 66 Cent gehandelt werden. Adressen von Konsumenten aus ländlichen Regionen, die vorrangig online shoppen, kosten mehr. Verkauft werden solche Datenschätze von Unternehmen, die der breiten Öffentlichkeit nicht als Datenhändler bekannt sind. Nennenswert sind das Bertelsmann-Unternehmen AZ Direct sowie die Otto Group. AZ Direct verfügt dem Bericht zufolge über eine Datenbank, in der 600 Merkmale für 70 Millionen Konsumenten erfasst sind.

Damit kommen wir gleich anknüpfend zu einem dritten Verwendungszweck: Daten dienen auch dazu, Werbung zu personalisieren. Das findet bei weitem nicht nur online statt. Haben auch Sie eine Kundenkarte von ihrer Stamm-Drogerie? Und haben Sie sich je gefragt, warum die Werbung dieser Woche so ausgezeichnet zu ihren bisherigen Einkäufen passt? Natürlich kann personalisierte Werbung praktisch sein: Gerade online stolpert man so häufig über Dinge, die man ohnehin auch einkaufen wollte. Dahinter steckt jedoch eine riesige Industrie, die die dafür notwendigen Daten teuer verkauft.

Xiaomi ist einer von vielen Herstellern, die es mit den Nutzerdaten nicht so genau nehmen. Sogar der Konzern, der lautstark auf Privatsphäre und Datenschutz pocht, nämlich Apple, hatte so seine Skandale. Man denke hier insbesondere an die Plaudertasche Siri (s. unser Beitrag „Sprachassistenten: Die Gefahren der Alltagshelfer“). Als Nutzer bleibt einem lediglich, sich wirklich umfassend mit dem eigenen Gerät zu befassen und viele Einstellungen zu nutzen, die der Privatsphäre dienen.

One Reply to “Xiaomi-Bashing: Was ist dran an den Spionage-Vorwürfen?”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert