Xiaomi in der Kritik

Browser meldet Hersteller jeden Besuch bei Pornhub

IT-Sicherheitsforscher erheben Ausspäh-Vorwürfe gegen den chinesischen Smartphone-Hersteller Xiaomi. Eine „Hintertür mit Telefonfunktion“ nennt IT-Experte Gabi Cirlig die für ihr Preis-Leistungsverhältnis beliebten Geräte - und demonstriert, dass der vorinstallierte Browser das Surfverhalten protokolliert und an den Hersteller sendet. Ein Pornhub-Besuch wurde sogar erfasst, obwohl der Inkognito-Modus aktiv war. Xiaomi selbst wiegelt ab.

Der chinesische IT-Riese Xiaomi hat sich mit starker Hardware zum günstigen Preis auch in Europa eine treue Fangemeinde aufgebaut und gehört zu den fünf größten Smartphone-Herstellern der Welt. Den Datenschutz scheint Xiaomi allerdings nicht so genau zu nehmen, wie aus einer Analyse zweier IT-Sicherheitsforscher für das Wirtschaftsmagazin „Forbes“ hervorgeht. Sie kommen zur Erkenntnis, dass Xiaomi-Handys beunruhigend viele Daten sammeln und an den Hersteller senden.

Vorinstallierte Apps durchleuchten die User
Gesammelt werden die Daten über vorinstallierte Apps wie den Browser oder den Musik-Player. Der Musik-Player informiere Xiaomi darüber, welche Songs der Nutzer wann angehört hat. Der Browser sammle selbst im Inkognito-Modus Infos über angesurfte Websites und Anfragen an Suchmaschinen. Die Infos werden in ein Archiv verpackt und an von Xiaomi beim chinesischen Amazon-Rivalen Alibaba angemietete Server geschickt, berichtet Cirlig. Die Datensammelei höre auch im Inkognito-Modus nicht auf. Eine Google-Anfrage mit dem Suchbegriff „Porn“ und ein Aufruf der Pornoseite Pornhub im Inkognito-Modus wurden genauso protokolliert wie das übrige Surfverhalten.

Xiaomi weist alle Vorwürfe zurück
Cirligs Erkenntnisse wurden „Forbes“ von einem zweiten zu Rate gezogenen Experten bestätigt und dürften nicht nur beim überprüften Modell Redmi Note 8, sondern auch bei anderen Xiaomi-Handys zu beobachten sein. Xiaomi weist aber alle Vorwürfe von sich. Zwar bestätigte man, dass der Browser „mit Zustimmung der Nutzer anonymisierte Daten“ sammle. Gleichzeitig erklärte man aber, dass „die Behauptungen der Forscher unwahr“ und „Privatsphäre und Sicherheit von größter Wichtigkeit“ für das Unternehmen seien. So halte man sich in jedem Land, in dem man aktiv sei, ans geltende Recht. Dass der Browser auch im Inkognito-Modus Daten sammle, bestreitet Xiaomi, obwohl „Forbes“ ein Videobeweis vorliegt.

Das komplette Browserverhalten inklusive der Internetadressen ohne die explizite Zustimmung der Nutzer zu sammeln und das auch noch im Inkognito-Modus zu tun ist das schlimmste, was passieren kann.

Security-Experte Andrew Tierney

Ein Dementi, das die beiden Sicherheitsforscher nicht gelten lassen. Zwar würden auch andere Browser gewisse Daten sammeln. Der von Xiaomi sei aber im Vergleich zu Google Chrome oder Apple Safari besonders invasiv. Andrew Tierney, der zweite zu Rate gezogene Experte: „Es ist viel schlimmer als bei jedem Mainstream-Browser, den ich gesehen habe. Viele von denen sammeln Analysedaten, aber da geht es um Nutzung und Abstürze. Das komplette Browserverhalten inklusive der Internetadressen ohne die explizite Zustimmung der Nutzer zu sammeln und das auch noch im Inkognito-Modus zu tun ist das schlimmste, was passieren kann.“

Auch Daten zur App-Nutzung werden gesammelt
Neben Browser-Daten und Musikvorlieben sammelt Xiaomi offenbar auch Daten über die App-Nutzung am Gerät. Jedes Mal, wenn eine App geöffnet wurde, sei ein Datenpaket an externe Server geschickt worden, berichtet Cirlig. Ziel der Datenpakete dürften die Server eines chinesischen Start-ups namens Sensor Analytics gewesen sein, das sich auf die Auswertung des Nutzerverhaltens und daraus abgeleitete Beratungstätigkeiten spezialisiert hat und mit dem auch Xiaomi zusammenarbeitet.

Auch Xiaomi-Browser aus dem Play Store spionieren
Die Entdeckungen der Experten legen nahe, dass der Nutzer beim Kauf eines günstigen Xiaomi-Smartphones nicht nur mit seinem Geld, sondern auch mit seinen Daten bezahlt. Die Erkenntnisse sollten von Besitzern von Xiaomi-Geräten zum Anlass genommen werden, den vorinstallierten Browser, den Xiaomi über den Google Play Store auch als Download für fremde Smartphones anbietet, bei erster Gelegenheit auszutauschen.