Smartphones aus dem Hause Xiaomi sollen das Benutzerverhalten aufzeichnen und sogar weiterleiten. Was ist dran an diesen Vorw\u00fcrfen? Und wie agieren andere Smartphone-Hersteller? Wir werfen einen Blick auf den Markt und auf die Vorw\u00fcrfe gegen Xiaomi.<\/p>\n
Xiaomi, ein chinesischer Smartphone-Hersteller, sieht sich dem Vorwurf gegen\u00fcber, das Nutzerverhalten aufzuzeichnen und diese Daten weiterzuleiten. Das gilt insbesondere beim Surfen im World Wide Web: Der hauseigene Browser soll jede vom Nutzer besuchte Website aufzeichnen, einschlie\u00dflich aller Eingaben in die Suchmaschine. Sogar im Inkognito-Modus sollen Nutzer nicht vor dieser Spionage gefeit sein. Einem Forbes-Artikel<\/a> zufolge trete dieses Spionage-Verhalten auch bei weiteren Browser-Apps des Herstellers in Googles Play Store auf.<\/p>\n Gem\u00e4\u00df dem Forbes-Artikel konnte der IT-Sicherheitsspezialist Gabriel C\u00eerlig folgendes aufdecken: Sein Xiaomi-Smartphone Redmi Note 8 \u00fcbermittelte unter Nutzung des vorinstallierten Standardbrowsers s\u00e4mtliche besuchten Websites an einen Xiaomi-Server in China, der von dem Internetkonzern Alibaba gehostet wird. Nicht nur die Sites, sondern auch die Suchmaschineneingaben, beispielsweise bei Google, aber auch bei DuckDuckGo, wurden \u00fcbertragen. Dies blieb auch so, wenn C\u00eerlig den Inkognito-Modus des Browsers nutzte, der ja eigentlich Privatsph\u00e4re gew\u00e4hrleisten soll.<\/p>\n In jedem der von C\u00eerlig untersuchten F\u00e4lle wurden weitere Details \u00fcbertragen: Angaben zum verwendeten Smartphone, aber auch zur Android-Version sowie eine immer gleichbleibende Nutzerkennung. C\u00eerlig bef\u00fcrchtet, dass diese Metadaten das eindeutige Identifizieren von Nutzern erm\u00f6glichen k\u00f6nnte. Daneben meldete C\u00eerligs Smartphone Details zur Nutzung an den Hersteller, beispielsweise welche Ordner C\u00eerlig \u00f6ffnete, welche Apps ge\u00f6ffnet wurden oder wann der Sicherheitsexperte \u00fcber den Bildschirm wischte. Verr\u00e4terisch sei auch die Musik-App des Herstellers: Sie \u00fcbertrage alle gespielten Titel einschlie\u00dflich Zeitstempel.<\/p>\n Der IT-Sicherheitsspezialist C\u00eerlig geht davon aus, dass mehrere Smartphone-Modelle betroffen sein k\u00f6nnen. Offenbar enthalten die Modelle Mi 10, Mi MIX 30 sowie Redmi K20 denselben Browsercode.<\/p>\n Das Forbes-Magazin bat einen weiteren Sicherheitsspezialisten, Andrew Tierney, um eine Einsch\u00e4tzung. Ihm zufolge zeigen die Xiaomi-Browser-Apps Mi Browser Pro und Mint Browser, beide in Googles Play Store erh\u00e4ltlich, ein \u00e4hnliches Verhalten.<\/p>\n Xiaomi reagierte zun\u00e4chst nicht sehr geschickt auf die Vorw\u00fcrfe: Der Konzern nannte die Vorw\u00fcrfe zun\u00e4chst \u201eunzutreffend\u201c. Das Unternehmen nehme die Privatsph\u00e4re sehr ernst und man halte sich an s\u00e4mtliche gesetzliche Bestimmungen. Jedoch musste ein Unternehmenssprecher einr\u00e4umen, dass Daten gesammelt w\u00fcrden. Er betonte jedoch, dass diese Daten anonymisiert seien, au\u00dferdem h\u00e4tten die Nutzer dieser Datenerhebung zugestimmt. Weiter blieb Xiaomi bei der Aussage, im Inkognito-Modus w\u00fcrden keine Daten \u00fcbertragen werden \u2013 ein Widerspruch zu den Entdeckungen C\u00eerligs und Tierneys, die per Video dokumentiert wurden.<\/p>\n In einem recht ausf\u00fchrlichen Blogbeitrag<\/a> reagierte der chinesische Hersteller dann doch umfassender. Durch einen Zusatz macht Xiaomi auf ein Update aufmerksam, mit dem die Browser-Apps eine Opt-out-M\u00f6glichkeit f\u00fcr die Daten\u00fcbertragung im Inkognito-Modus erhalten sollen. Xiaomi m\u00f6chte so \u201edie Kontrolle der Nutzer \u00fcber das Teilen ihrer Daten weiter st\u00e4rken\u201c.<\/p>\n Xiaomi nutzt diesen Blogbeitrag auch, um erneut zu betonen, dass man Daten nur mit ausdr\u00fccklicher Zustimmung des Nutzers sammle. Die Daten seien dar\u00fcber hinaus anonymisiert, die \u00dcbertragung mittels TLS 1.2 verschl\u00fcsselt. Zwar werde die Browser-URL aufgezeichnet, jedoch um die Browser-Performance zu optimieren und langsam ladende Sites zu identifizieren.<\/p>\n Weiter erfasse man anonymisierte Daten zum Optimieren der Nutzererfahrung. Dazu z\u00e4hlten beispielsweise Systeminformationen, Absturzberichte, aber auch Einstellungen und Reaktionsf\u00e4higkeiten. Xiaomi verwende diese Daten ausschlie\u00dflich f\u00fcr interne Analysen. Das Erfassen in aggregierter Form sorge daf\u00fcr, dass keine R\u00fcckschl\u00fcsse auf einzelne Nutzer m\u00f6glich seien.<\/p>\n Auf C\u00eerligs Hinweis, dass die User-ID (UUID, unique token) immer gleichbleibe, geht Xiaomi in dem Beitrag nicht direkt ein, erw\u00e4hnt jedoch, dass der unique token per Zufallswert erzeugt werde und keine R\u00fcckschl\u00fcsse auf den Nutzer m\u00f6glich seien.<\/p>\n Es sei der \u201eData-Sync\u201c-Funktion des Browsers geschuldet, dass die Browser-Historie \u00fcbertragen werde, erkl\u00e4rt Xiaomi weiter. Unter zwei Bedingungen sei diese Funktion aktiv: Die Funktion m\u00fcsse in den Einstellungen aktiviert werden und der Nutzer m\u00fcsse mit seinem Mi-Account eingeloggt sein. Die Sync-Funktion sei im Inkognito-Modus grunds\u00e4tzlich deaktiviert. \u201eStatistische Nutzerdaten\u201c w\u00fcrden jedoch auch im Inkognito-Modus \u00fcbertragen; darunter falle auch die besuchte URL.<\/p>\n Mittlerweile stehen Updates f\u00fcr die Xiaomi-Browser bereit. Damit kam eine Funktion, die es erm\u00f6glicht, selbst der aggregierten Datensammlung im Inkognito-Modus zu widersprechen. Per An\/Aus-Schalter funktioniert das im Mi Browser (Pro) ab Version 12.1.4 und im Mint Browser ab Version 3.4.3.<\/p>\n Xiaomi ist bekannt als Smartphone-Hersteller, der g\u00fcnstige Mittelklasseger\u00e4te anbietet und damit auch hierzulande sehr erfolgreich w\u00e4chst. Ist das Ausspionieren nun speziell ein Thema, das Hersteller wie Xiaomi trifft? Was machen beispielsweise Apple und Samsung mit ihren jeweiligen Smartphones?<\/p>\n Inmitten der Corona-Pandemie w\u00e4re es ideal, w\u00fcrden die Menschen so oft wie m\u00f6glich zuhause bleiben. Um Erfolge dieser Ausgangsbeschr\u00e4nkung sichtbar zu machen, hat Apple Mobilit\u00e4tstrends<\/a> aus dem hauseigenen Kartendienst ver\u00f6ffentlicht. Es werden Daten seit 13. Januar 2020 dargestellt. Basis dieser Daten bilden Anfragen nach Wegbeschreibungen in den Apple-Karten. Einzelst\u00e4dte werden sogar nach Fu\u00df- und Autoverkehr aufgeschl\u00fcsselt, zuweilen liegen auch Daten f\u00fcr den \u00f6ffentlichen Nahverkehr vor.<\/p>\n Um R\u00fcckschl\u00fcsse auf Einzelnutzer zu verhindern, verkn\u00fcpft Apple die Daten (z. B. Navigationsrouten, Suchbegriffe oder Verkehrsinformationen) mit einer zuf\u00e4lligen Kennung. Neben Apple ver\u00f6ffentlichte auch Google Mobilit\u00e4tstrends. Der Internetriese wertet daf\u00fcr anonymisierte Daten von Nutzern aus, die Google erlauben, ihre Aufenthaltsorte aufzuzeichnen.<\/p>\n Apple m\u00f6chte mit den aus den Maps-Anfragen generierten Mobilit\u00e4tsdaten die Ausbreitung von COVID-19 verhindern helfen. Gesundheitsbeh\u00f6rden k\u00f6nnten die Daten daf\u00fcr nutzen, weitere M\u00f6glichkeiten zum Eind\u00e4mmen des Virus zu erarbeiten.<\/p>\n Zusammen mit einigen Updates gingen im Herbst vorigen Jahres neue Datenschutzbedingungen einher, die Apple auf seiner Privacy-Site<\/a> darstellt. Hier ist beispielsweise folgendes zu lesen:<\/p>\n Auch Samsung geh\u00f6rt zu den beliebtesten Smartphone-Herstellern. Doch fallen die Smartphones immer mal wieder durch Sicherheitsl\u00fccken auf. So wurde Anfang Mai 2020 eine gravierende Sicherheitsl\u00fccke entdeckt<\/a>, die es erm\u00f6glichte, Daten abzugreifen. Die IT-Sicherheitsforscherin Jiska Classen entdeckte die Sicherheitsl\u00fccke, die bereits bestand, als das millionenfach verkaufte Ger\u00e4t in den europ\u00e4ischen Handel kam. Betroffen ist der Bluetooth-Chip vom Samsung Galaxy 8, aber auch die Modelle Galaxy S8+ und Note 8 sind betroffen. Es fehlt der Mechanismus, der Verbindungen zweier Bluetooth-Ger\u00e4te verschl\u00fcsselt.<\/p>\n Die L\u00fccke erm\u00f6glicht es, dass sich Hacker in die Bluetooth-Verbindung einklinken k\u00f6nnen, um alle \u00fcbertragenen Daten zu entziffern. Nicht nur Musik, sondern auch sensible und pers\u00f6nliche Daten lassen sich per Bluetooth \u00fcbertragen. So w\u00e4re es beispielsweise m\u00f6glich, dass Hacker Passw\u00f6rter oder Nachrichten \u00fcber eine Bluetooth-Tastatur mitschneiden. Selbstredend lassen sich auch Gespr\u00e4che abh\u00f6ren oder die Daten von \u00fcber Bluetooth verbundenen Fitnesstrackern abziehen. Da physische N\u00e4he zum Opfer-Smartphone notwendig ist, ist keine Massen\u00fcberwachung durch diese Sicherheitsl\u00fccke m\u00f6glich. Gezielte Angriffe sind jedoch denkbar.<\/p>\n Ein Samsung-Sprecher erkl\u00e4rte: \u201eWir empfehlen unseren Kunden ihre Ger\u00e4te-Software stets aktuell zu halten, um ihr Ger\u00e4t so gut wie m\u00f6glich zu sch\u00fctzen\u201c. Ungut nur, dass es in diesem Fall um ein kleines Bauteil geht, welches sich nicht mittels Update nachr\u00fcsten l\u00e4sst.<\/p>\n Auf den Smartphones und Tablets von Samsung hatte der Hersteller die App \u201eDevice Care\u201c vorinstalliert. Ein Nutzer schaute sich diese Funktion genauer an und stellte fest, dass Daten abgezogen werden. Seine Entdeckungen postete der Nutzer auf Reddit<\/a>. Hinter der vorinstallierten und nicht entfernbaren App \u201eDevice Care\u201c verbirgt sich ein Speicherscanner der Firma Qihoo 360 aus China, deren zweifelhafter Ruf ihr vorauseilt.<\/p>\n Qihoo 360 fiel in der Vergangenheit vor allem durch Verwicklungen in Datenschutzskandale auf. Der Reddit-Nutzer kritisiert klar, dass es ein gro\u00dfes Risiko sei, solch eine dubiose Firma mit dem Speichern von Daten zu beauftragen. Weiter hie\u00df es: \u201eDer Speicherscanner auf deinem Ger\u00e4t hat vollen Zugriff auf alle pers\u00f6nlichen Daten (weil er Teil des Systems ist) und w\u00fcrde diese Daten an die chinesische Regierung senden, wie es chinesische Gesetze und Regulierungen vorsehen\u201c.<\/p>\n Tats\u00e4chlich enth\u00fcllt ein intensiverer Blick auf das Speichermodul, welches \u201eDevice Care\u201c nutzt, dass die App mit verschiedenen chinesischen Servern kommuniziert. Welche Daten jedoch \u00fcbertragen werden, l\u00e4sst sich nicht nachvollziehen.<\/p>\n Nachdem sich Samsung zun\u00e4chst in Schweigen geh\u00fcllt hatte, teilte der Konzern gegen\u00fcber dem Magazin The Verge<\/a> mit, dass man generische Informationen an Qihoo 360 sende, um den Speicher zu optimieren. So w\u00fcrden Daten zur Betriebssystemversion, zum Telefonmodell und zur verf\u00fcgbaren Speicherkapazit\u00e4t gesendet. Weiter nutze die App eine Referenzbibliothek, damit Junk-Dateien identifiziert werden k\u00f6nnten.<\/p>\n Samsung hat, wie AndroidPolice berichtete<\/a>, die Zusammenarbeit mit Qihoo 360 beendet; in der aktuellen App-Version existiert keine Verbindung mehr zu diesem Unternehmen. Nun wird auch der Button f\u00fcrs automatische Bereinigen des Speichers nicht mehr angezeigt, der Nutzer muss das Samsung-Smartphone also manuell bereinigen. Da dies jedoch recht unkompliziert \u00fcber das Men\u00fc (\u201eSpeicher\u201c \u2013 \u201eSpeicher bereinigen\u201c) funktioniert, ist das ein geringer Preis daf\u00fcr, eigene Daten nun bei sich behalten zu k\u00f6nnen.<\/p>\n Xiaomi und Samsung nehmen sich \u2013 bei Tageslicht betrachtet \u2013 nicht allzu viel: Beide Hersteller haben Daten an Dritte gesendet. Schwiegen sich die Hersteller zun\u00e4chst aus oder warfen die Vorw\u00fcrfe von sich, so zeigten sie sich dann doch einsichtig durch den Druck von au\u00dfen, insbesondere von IT-Sicherheitsspezialisten und Datensch\u00fctzern. Apple f\u00e4hrt hier gleich ein anderes Konzept: Alle Informationen und Daten bleiben idealerweise lokal beim Nutzer. Inwieweit das sehr abgeschlossene Apple-\u00d6kosystem dann pers\u00f6nlich gef\u00e4llt, ist nat\u00fcrlich Geschmackssache, dass offenere Android bringt hier schon Vorteile. Eben diese Abgeschlossenheit ist jedoch auch Teil des gut funktionierenden Sicherheitskonzepts von Apple.<\/p>\n Grunds\u00e4tzlich spricht nichts gegen das Sammeln von Daten \u2013 wenn es in einer Weise geschieht, die die Anonymit\u00e4t der Nutzer gew\u00e4hrleistet oder die Nutzer zumindest umfassend aufkl\u00e4rt, sodass diese eine Einwilligung abgeben oder sie ablehnen k\u00f6nnen.<\/p>\n So ist ein beliebter und absolut vertretbarer Zweck des Datensammelns die Verbesserung der eigenen Dienste. Daf\u00fcr gen\u00fcgen jedoch anonymisierte Metadaten. Niemand ben\u00f6tigt zum Optimieren von Diensten personenbezogene Daten, die R\u00fcckschl\u00fcsse auf Individuen zulassen.<\/p>\n H\u00e4ufig werden Daten auch gesammelt, um sie weiterzuverkaufen. Selten werden sie daf\u00fcr anonymisiert, schlie\u00dflich geht es ja um die puren Daten. Was passiert mit diesen Daten? Das ist sehr verschieden. M\u00f6glich sind beispielsweise ma\u00dfgeschneiderte Profile f\u00fcr die Werbeindustrie. Einem Bericht von Deutschlandfunk<\/a> ist zu entnehmen, dass Anschriften von Senioren, die sich f\u00fcr Luxusg\u00fcter interessieren, f\u00fcr 66 Cent gehandelt werden. Adressen von Konsumenten aus l\u00e4ndlichen Regionen, die vorrangig online shoppen, kosten mehr. Verkauft werden solche Datensch\u00e4tze von Unternehmen, die der breiten \u00d6ffentlichkeit nicht als Datenh\u00e4ndler bekannt sind. Nennenswert sind das Bertelsmann-Unternehmen AZ Direct sowie die Otto Group. AZ Direct verf\u00fcgt dem Bericht zufolge \u00fcber eine Datenbank, in der 600 Merkmale f\u00fcr 70 Millionen Konsumenten erfasst sind.<\/p>\n Damit kommen wir gleich ankn\u00fcpfend zu einem dritten Verwendungszweck: Daten dienen auch dazu, Werbung zu personalisieren. Das findet bei weitem nicht nur online statt. Haben auch Sie eine Kundenkarte von ihrer Stamm-Drogerie? Und haben Sie sich je gefragt, warum die Werbung dieser Woche so ausgezeichnet zu ihren bisherigen Eink\u00e4ufen passt? Nat\u00fcrlich kann personalisierte Werbung praktisch sein: Gerade online stolpert man so h\u00e4ufig \u00fcber Dinge, die man ohnehin auch einkaufen wollte. Dahinter steckt jedoch eine riesige Industrie, die die daf\u00fcr notwendigen Daten teuer verkauft.<\/p>\n Xiaomi ist einer von vielen Herstellern, die es mit den Nutzerdaten nicht so genau nehmen. Sogar der Konzern, der lautstark auf Privatsph\u00e4re und Datenschutz pocht, n\u00e4mlich Apple, hatte so seine Skandale. Man denke hier insbesondere an die Plaudertasche Siri (s. unser Beitrag \u201eSprachassistenten: Die Gefahren der Alltagshelfer\u201c<\/a>). Als Nutzer bleibt einem lediglich, sich wirklich umfassend mit dem eigenen Ger\u00e4t zu befassen und viele Einstellungen zu nutzen, die der Privatsph\u00e4re dienen.<\/p>\n","protected":false},"excerpt":{"rendered":" Smartphones aus dem Hause Xiaomi sollen das Benutzerverhalten aufzeichnen und sogar weiterleiten. Was ist dran an diesen Vorw\u00fcrfen? Und wie agieren andere Smartphone-Hersteller? Wir werfen einen Blick auf den Markt und auf die Vorw\u00fcrfe gegen Xiaomi. Xiaomi: Die Vorw\u00fcrfe gegen den Smartphone-Hersteller Xiaomi, ein chinesischer Smartphone-Hersteller, sieht sich dem Vorwurf gegen\u00fcber, das Nutzerverhalten aufzuzeichnen und … <\/p>\nIT-Sicherheitsspezialist deckt auf<\/h3>\n
Welche Ger\u00e4te sind betroffen?<\/h3>\n
Xiaomi reagiert mit Opt-out-M\u00f6glichkeit<\/h2>\n
Xiaomi m\u00f6chte Nutzerrechte st\u00e4rken<\/h3>\n
\u201cData-Sync\u201c-Funktion<\/h3>\n
Ist Xiaomi eine Ausnahme?<\/h2>\n
Apple wirbt mit Privatsph\u00e4re<\/h3>\n
Welche Daten sammelt Apple?<\/h3>\n
\n
Samsung mit Sicherheitsproblemen<\/h2>\n
Samsungs \u201eDevice Care\u201c schickt Daten nach China<\/h3>\n
Xiaomi, Apple & Samsung: Wer macht\u2019s besser?<\/h2>\n
Sind Datensammlungen grunds\u00e4tzlich \u201eb\u00f6se\u201c?<\/h2>\n