Anschuldigung: Xiaomi trackt angeblich deutlich mehr Daten als es dürfte [Update 2]

[Update 2] In ihrem aktuellen Blogpost zu den Anschuldigungen hat Xiaomi heute verkündet, dass man ein Update für alle eigenen Browser auf Google Play eingestellt hat. Durch das neue Browser-Update soll es nun für jeden Nutzer möglich sein die aggregierte Datensammelung im Inkognito-Modus ein- und auszuschalten. Ob diese standardmäßig ein- oder ausgeschaltet ist, geht aus dem Post nicht hervor. Der chinesische Hersteller scheint aber sehr um eine schnelle Reaktion bemüht zus ein und betont weiterhin, dass die gesammelten Daten nur in nicht-identifizierbarer Form vorlegen und zur Produktverbesserung genutzt werden.

[Update 1] Mittlerweile hat auch das Forbes-Magazin einen Link zu Xiaomis umfangreichen, neuen Statement zu den Vorwürfen veröffentlicht. Darin listet Xiaomi sehr detailliert auf, welche Daten der Mi Browser erhebt und warum, sogar mit Codebeispielen aus dem Browser. Zudem verweist Xiaomi auf mehrere Zertifikate internationaler Organisationen, welche die Sicherheit der Xiaomi-Produkte überprüft haben sollen. Hinsichtlich der Smartphonenutzung würden nur System Informationen, Einstellungen, User Interface Feature Usage, Responsiveness, Leistung, Speichernutzung und Crash Reports erhoben. Auf die Datenerhebung bei der Benutzung von Apps geht Xiaomi allerdings nicht ein. Das komplette Statement findet sich hier.

Ursprüngliche Meldung] „Es ist ein Hintertürchen mit Telefon-Funktionalität“, scherzt der Sicherheitsforscher Gabi Cirlig über sein neues Xiaomi-Smartphone. Angeblich hatte er entdeckt, dass Xiaomi fast alles aufzeichnete, was er auf seinem Redmi Note 8 tat. Die Daten gingen anschließend an Server in China, welche von dem Großkonzern Alibaba gehostet werden, offenbar werden diese von Xiaomi angemietet.

Der erfahrene Forscher entdeckte zunächst, dass der Standardbrowser von Xiaomi alle besuchten Webseite speicherte, inklusive Suchergebnissen und selbst wenn diese über DuckDuckGo, einer Suchengine mit Datenschutz-Fokus, getätigt wurden. Das Tracking fand auch bei der Benutzung des Inkognito-Modus statt.

Das Xiaomi-Gerät speicherte außerdem welche Ordner der Nutzer öffnete und zu welchen Screens er wischte, inklusive der Status Bar und den Einstellungen. Alle diese Daten wurden Cirlig zufolge gebündelt und dann an Server in Russland und Singapur geschickt, wobei die jeweilige Web-Domain in Peking registriert war.

Forbes beließ es aber nicht bei den Behauptungen eines Einzelnen. Das Magazin beauftragte einen weiteren Sicherheitsforscher, Andrew Tierney, damit mehr darüber herauszufinden. Tierney entdeckte, dass sogar Xiaomi-Browser die via Google Play angeboten werden, wie der Mi Browser Pro oder der Mint Browser, die gleichen Daten sammeln wie von Cirlig beschrieben.

Cirlig untersuchte den Browsercode von weiteren Xiaomi-Smartphones wie dem Xiaomi MI 10, dem Xiaomi Redmi K20 und dem Xiaomi Mi MIX 3. Bei allen konnte er die gleichen Datensammelgrundlagen feststellen. Die Daten waren zudem unzureichend verschlüsselt, innerhalb weniger Sekunden konnte der Forscher die Daten dekodieren und wieder lesbar machen.

Xiaomi bezeichnete den Bericht als unwahr. Ein Sprecher gab zu, dass Browserdaten erhoben werden, allerdings anonymisiert. Er bestritt, dass Browserdaten auch im Inkognito-Modus erhoben werden. Cirlic und Tierney erbrachten jedoch Beweise in Form von Fotos und Videos für das Tracking. Auch das Sammeln weiterer Daten über die Benutzung des Smartphones wurde von Xiaomi bestritten.

Cirlic glaubt zudem, dass selbst die Appnutzung von Xiaomi aufgezeichnet wird, da jedes Mal beim Öffnen einer App Datenpakete an externe Server geschickt wurden.