Sicherheitsexperten werfen dem chinesischen Smartphone-Hersteller vor, mit vorinstallierter Software auf seinen Smartphones der Reihen Mi und Redmi seine Nutzer auszuspionieren und die dabei ermittelten, nicht anonymisierten Daten auf Server in Singapur und Russland zu übertragen, auf die dann Xiaomi von China aus Zugriff hat. Das berichtet Forbes mit Verweis auf die Sicherheitsexperten Gabi Cirlig und Andrew Tierney, die die Entdeckung gemacht und an Forbes gemeldet haben.
Foto: Xiaomi
Den beiden Experten zufolge sollen die bei den Smartphones mitgelieferten Apps und Browser über entsprechende Komponenten verfügen, die das Nutzerverhalten aufzeichnen und dann an Xiaomi weiterleiten. Cirlig fiel dies zunächst beim Redmi Note 8 auf, aber er entdeckte dann auch die entsprechenden Komponenten in der Firmware für das Xiaomi Mi 10, Redmi K20 und Mi Mix 3. Registriert werde beispielsweise, wenn ein Nutzer einen Ordner öffneT, einen Screenshot erstellT oder über die Xiaomi-Musik-App einen Song abspielt.Tierney konnte dieses Verhalten dann auch in den Xiaomi-Browsern Mint und Mi Browser Pro nachweisen, selbst dann, wenn die Browser im Privatmodus genutzt werden. Dabei würden unter anderem auch die Suchanfragen der Nutzer sowohl bei Google als auch bei Duckduckgo übertragen.
Xiaomi wehrt sich gegen Vorwürfe
Xiaomi wehrt sich gegen die Vorwürfe mit einem ausführlichen Blog-Eintrag, der über die vergangenen Tage auch mehrfach aktualisiert wurde. In dem Blog-Eintrag erklärt Xiaomi, dass die Vorwürfe nicht zutreffend seien und sich das Unternehmen beim Schutz der Privatsphäre an die jeweils in dem Land der Nutzer geltenden Regeln halte. Verwiesen wird dabei auf entsprechende Sicherheitszertifikate, die das Unternehmen erhalten habe, beispielsweise die ISO-Zertifizierungen 27001:2013 und 27018:2014 und 29151:2017.
Konkret erklärt Xiaomi unter anderem: "Xiaomi ist enttäuscht, den jüngsten Artikel von Forbes zu lesen. Wir glauben, dass sie nicht richtig verstanden haben, was wir bezüglich unserer Datenschutzgrundsätze und -politik mitgeteilt haben." Außerdem fügt Xiaomi hinzu: "Die Privatsphäre unserer Nutzer und die Sicherheit im Internet haben bei Xiaomi oberste Priorität; (...) Wir haben uns an Forbes gewandt, um Klarheit über diese unglückliche Fehlinterpretation zu schaffen."
Xiaomi versichert in dem Blog-Eintrag, dass man nicht mehr Informationen als auch andere Hersteller sammle und dabei auch alle geltenden Regeln einhalte. Außerdem würden alle gesammelten Daten anonymisiert und verschlüsselt. Die Daten würden ausschließlich für interne Analysen zur Verbesserung der eigenen Produkte genutzt. Auf keinen Fall sei es möglich, die Daten zu Nutzern zurückzuverfolgen. Die Speicherung erfolge zudem bei Cloud-Anbietern, die auch von anderen Unternehmen der Branche genutzt werden.
Xiaomi-Browser in neuen Versionen verfügbar
In späteren Aktualisierungen des Blog-Eintrags zeigt sich Xiaomi etwas sanfter: Man danke den Sicherheitsexperten für ihren "engagierten, leidenschaftlichen und konstruktiven" Beitrag bei der Diskussion. In Reaktion auf ihren Fund hat Xiaomi schließlich am Sonntag auch neue Versionen seiner Browser veröffentlicht, die über den Google Play Store erhältlich sind: konkret den Mi-Browser bzw. Mi-Browser Pro in der Version 12.1.4 und den Mint-Browser in der Version 3.4.3.
In diesen neuen Versionen können die Nutzer nun im Inkognito-Modus über eine neue Option das Sammeln und die Weitergabe von Nutzerdaten abschalten. Bei der Gelegenheit weist Xiaomi aber auch darauf hin, dass auch andere Hersteller selbst dann Nutzerdaten sammeln, wenn die Nutzer die Browser dieser Hersteller im Inkognito-Modus nutzen. Xiaomi will mit der Maßnahme seine Bemühungen verstärken, den Nutzern mehr Kontrolle über die gemeinsame Nutzung eigenen Daten zu geben, wie es in der Erklärung von Xiaomi heißt. "Wir sind der Meinung, dass diese Funktionalität in Kombination mit unserem Ansatz, aggregierte Daten in nicht identifizierbarer Form zu führen, über die gesetzlichen Anforderungen hinausgeht und das Engagement unseres Unternehmens für den Datenschutz der Benutzer zeigt", so Xiaomi. (PC-Welt)