News

Xiaomi hat ein Datenschutz-Problem: Sensible Daten auf ausländischen Servern

Dieser China-Gadgets-Artikel ist schon über ein halbes Jahr alt. Es kann sein, dass der Preis inzwischen anders oder das Gadget ausverkauft ist. Hier geht es zu den aktuellsten Angeboten. Hole dir unsere App für Android oder iOS, um kein Gadget mehr zu verpassen.

Xiaomi steht aktuell stark in der Kritik. Das chinesische Tech-Unternehmen hat anscheinend ein gravierendes Datenschutz-Problem. Sensible Daten, das Nutzerverhalten und Suchanfragen werden auf ausländischen Servern gespeichert und eher schlecht als recht verschlüsselt. Laut den Kritikern können Nutzer so theoretisch eindeutig identifiziert werden.

Xiaomi Datenschutz Problem 1

Was ist passiert?

Die zwei amerikanischen Datenschutz- und Cybersecurity-Experten Gabi Cirlig und Andrew Tierney äußern scharfe Kritik an dem Umgang mit Datenschutz von Xiaomi. Nachdem Cirlig auf seinem Redmi Note 8 entdeckt hat, dass das MIUI Betriebssystem sein Nutzungsverhalten auf ausländischen Servern speichert, hat das Forbes Magazin Tierney damit beauftragt, Xiaomis Umgang mit Nutzerdaten auf den Prüfstand zu stellen.

Beide stellten fest, dass das Smartphone das Nutzerverhalten trackt, also aufzeichnet, und „schlecht“ verschlüsselt (Base64-Kodierung) an chinesische Server sendet. Dabei geht es vermehrt um den vorinstallierten Xiaomi Browser, der alle besuchten Webseiten und Suchanfragen (egal ob von Google oder alternative Suchmaschinen) aufgezeichnet hat. Und das tatsächlich auch bei der Benutzung des Inkognito-Modus. So wurden auch gerade die Suchanfragen, die man eher geheimhalten möchte (Stichwort: Porno), trotz des „Unsichtbar“-Modus aufgezeichnet.

Dieses problematische Verhalten beschränkt sich allerdings nicht nur auf den Browser. Auch die von Xiaomi im Google Play Store bereitgestellten Browser „Mint Browser“ und „Mi Browser Pro“ versenden die sensiblen Daten an ausländische Server in China, Russland oder Singapur. Das Smartphone trackt zudem, welche Einstellungen man tätigt oder was man sich in der Statusleiste anschaut.

Mint Browser Play Store

Dieses Problem wird natürlich gerade dann drastisch, wenn man sich Xiaomis Größe anschaut. Als viertgrößter Smartphone-Produzent sind theoretisch also Millionen von Geräten betroffen, da sich das Problem nicht nur auf das Redmi Note 8, sondern alle weiteren getesteten Geräte wie das Xiaomi Mi 10 bezieht. Besonders kritisch daran ist vielleicht nicht unbedingt der Transfer auf ausländische Server, sondern die Verschlüsselung dieser Daten. Diese werden seitens Xiaomi zwar verschlüsselt, aber eben sehr einfach, sodass es laut Cirlig problemlos möglich ist diese zu entschlüsseln und mit einem individuellen Nutzer in Verbindung zu bringen.

Wie geht Xiaomi damit um?

Der Tech-Riese hat zwar sehr schnell, aus der Sicht vieler aber nicht besonders professionell reagiert. Während man die Ergebnisse der unabhängigen der Experten kleinredet und beteuert, dass alles im Rahmen des Gesetztes stattfindet, gibt man gleichzeitig zu, diese Daten durchaus zu sammeln, allerdings entsprechend zu verschlüsseln. Außerdem würde der Nutzer diesem Tracking zustimmen. Allerdings bezieht sich Xiaomi in der Antwort hauptsächlich auf den Browser als Problemherd, die Datenschutz-Experten haben aber aufgezeigt, dass auch das MIUI System sensible Daten sammelt und weitergibt.

Mint Browser Mi Browser Pro Update
Sowohl der Mint Browser als auch der Mi Browser Pro haben bereits das Update erhalten.

Xiaomi hat sich zumindest auf dem eigenen Blog direkt an ihre User gewandt und Besserung gelobt. Dafür wurden zuerst einmal die aktuellen Xiaomi Browser aktualisiert und im Inkognito-Modus gibt es zudem die Möglichkeit dem Daten sammeln, zuzustimmen oder es eben abzulehnen. Damit kann man immerhin schon einmal einen der Hauptkritikpunkte eliminieren. Allerdings stellt man auch klar, dass die übrigen Daten nicht mit einem individuellen Nutzer in Verbindung gebracht werden können und weist somit einige der Anschuldigungen zurück.

Unsere Meinung

Der Vorwurf seitens Forbes und der beiden Datenschutz-Experten trifft Xiaomi hart, der Umgang mit dieser harschen Kritik ist unserer Ansicht nach aber nicht ausreichend. Datenschutz wird immer wichtiger und unsere Daten sind schon fast eine Art Währung in der digitalen Welt. So wichtig, dass beispielsweise Apple bei ihren iPhones mit dem Thema Datenschutz wirbt. Dass aber wahrscheinlich jeder Hersteller Datenschutzlücken hat und nachbessern muss, steht außer Frage, so auch Apple oder jetzt eben Xiaomi. Entscheidend ist der Umgang mit dieser Problematik. Das Update des Browsers ist zumindest ein Schritt in die richtige Richtung, auch wenn man diesen Umgang sicherlich auf das gesamte MIUI Betriebssystem ausweiten muss.

Wie geht ihr mit dem Thema um? Zieht ihr dadurch in Erwägung einem anderen Hersteller eher zu vertrauen oder habt ihr euch einen so „lockeren“ Umgang mit euren Daten gerechnet? Lasst es uns gerne in den Kommentaren wissen! Wer sich näher für das Thema interessiert, dem empfehlen wir den originalen Forbes-Beitrag.

Wenn du über einen Link auf dieser Seite ein Produkt kaufst, erhalten wir oftmals eine kleine Provision als Vergütung. Für dich entstehen dabei keinerlei Mehrkosten und dir bleibt frei wo du bestellst. Diese Provisionen haben in keinem Fall Auswirkung auf unsere Beiträge. Zu den Partnerprogrammen und Partnerschaften gehört unter anderem eBay und das Amazon PartnerNet. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.

Profilbild von Thorben

Thorben

Mir haben es die China-Smartphones von Xiaomi, Huawei & Co angetan. Wenn ich kein Handy teste, pflege ich unseren Instagram-Kanal.

Sortierung: Neueste | Älteste

Kommentare (107)

  • Profilbild von Derda
    # 05.05.20 um 21:58

    Derda

    Custom Rom, "Ad"blocker oder der vpn übers heimnetz (PiHole als DNS) regelt. Hier mal ein Auszug aus nem xiaomi Mi 9 SE

    Kommentarbild von Derda
    • Profilbild von Joachim
      # 06.05.20 um 08:44

      Joachim

      @Derda: Custom Rom, "Ad"blocker oder der vpn übers heimnetz (PiHole als DNS) regelt. Hier mal ein Auszug aus nem xiaomi Mi 9 SE

      So schaut das bei mir auch aus 😀

    • Profilbild von Senf
      # 06.05.20 um 11:25

      Senf

      Echt, hast du dauerhaft unterwegs eine VPN Verbindung ins Heimnetz?

  • Profilbild von derb
    # 06.05.20 um 10:46

    derb

    In Punkto Datenschutz gibt es nur einen serieusen anbieter. Die Preisstrategie wird zwar oftmals bemängelt aber jeder einzelner Cent ist bei Apple gut investiertes Geld. Glaubts mir…

    • Profilbild von RobertS
      # 06.05.20 um 11:45

      RobertS

      Nur weil bisher noch nichts von Datensammlung rausgekommen ist, heißt das noch lange nicht das die teuersten Äpfel der Welt das nicht ausgiebig machen. Als wenn gerade Amerikaner auf Datenspionage verzichten würden, das ich nicht lache……

      • Profilbild von unique
        # 06.05.20 um 11:54

        unique

        du meinst apple? die haben ein vollständiges backup deines iphones in der cloud. was die damit machen können, kannste dir selbst ausmalen.

      • Profilbild von derb
        # 20.05.20 um 10:59

        derb

        @RobertS datensammlung ist selbstverständlich für jeden anbieter… es geht um den datenschutz

    • Profilbild von Seb
      # 06.05.20 um 15:10

      Seb

      Dazu sag ich nur PRISM

      "Laut einer zuerst von der US-amerikanischen Washington Post[8] und dem britischen Guardian[9] im Juni 2013 veröffentlichten Präsentation sind an dem Programm neun der größten Internetkonzerne und Dienste der USA beteiligt: Microsoft (u. a. mit Skype), Google (u. a. mit YouTube), Facebook, Yahoo, Apple, AOL und Paltalk.[8]"

      QUELLE WIKIPEDIA

  • Profilbild von Computerpitti
    # 06.05.20 um 11:48

    Computerpitti

    Hust… Google.. . HHu.st….
    Android… Hust..
    NSA, RÄUSPER.. EDWARD SNOWDEN…

    Smart TV, Laptop, Handy… Überall Funk und Mikrofone… Alexa und Co…

    Wir tragen die Wanzen doch mit uns herum und stellen sie freiwillig ins Wohnzimmer.. .

    Wenn wir nicht ab so fort Snowden ernst nehmen, kann jeder nur hoffen, dass seine Daten nicht in bösartige Hände fallen… (stell Dir vor der IS weiß wo du wohnst und wer Deine Freunde sind)

    Lasst den armen Chinesen in Ruhe
    … Der bekommt schon von Trump genug..
    .

    Die Amis wissen was ihr auf What's app schreibt und erstellen Statistiken darüber..
    . . Wenn juckt's, wenn Xiaomi weiß, was ich für ein fetish habe?

    Ich fühle mich beim Chinesen tlw. Besser aufgehoben….

  • Profilbild von Cola
    # 06.05.20 um 12:21

    Cola

    Ob Google und Apple nicht schnüffeln würden.

  • Profilbild von Chuwi
    # 06.05.20 um 12:57

    Chuwi

    Ich habe viele Apps so auch den Browser mittels adb deinstalliert… Fühle mich dadurch besser, aber ich glaube nicht daran dass es etwas bringt.

  • Profilbild von HKNBG
    # 06.05.20 um 13:26

    HKNBG

    Dennoch: Was jeder machen sollte: Unter "Einstellungen -> Passwort & Sicherheit -> Autorisierung & Widerruf überall Widerrufen. Dort wird einem Angst gemacht, dass man unter Umständen die App nicht mehr verwenden kann.

    Dennoch, falls man sie wieder verwenden möchte, kann man die App nicht mehr verwenden und bekommt die Meldung, dass man die Autorisierung wieder zustimmen muss. Danach funktioniert es wieder Einwandfrei. (Bspw. Updater und Updates für Systemapps sind Notwendig). Die anderen Apps (VORALLEM msa UND MiuiDaemon) sind kompletter Schwachsinn und die Datenschleudern.

    PS: Den Kalender kann man trotzdem noch verwenden, wenn man jedes Mal auf Ablehnen beim öffnen klickt.

  • Profilbild von Normalo
    # 06.05.20 um 14:28

    Normalo

    Ganz ehrlich…es ist eine sinnfreie Diskussion und Fragestellung! Fast alle Smartphonenutzer haben neben Xiaomi eine Facebook, Google, Instagram Account. Oder nutzen Emaildienste wie web.de ,1&1 etc. Jeder dieser Dienste nutzt unsere Daten und wir wissen nicht wofür und was genau damit passiert! Kauft euch ne Brieftaube und redet nur persönlich mit den Leuten. Und nicht mal das wäre sicher.

    • Profilbild von Senf
      # 06.05.20 um 15:58

      Senf

      Die Diskussion ist nicht sinnfrei. Sie ist nötiger den je! Man muss ja nicht alles akzeptieren, was einem vorgekaut wird. Es würde sogar schon helfen, wenn sich nicht alle auf das stürzen, was ihnen gerade frisch vorgekaut wird.

    • Profilbild von Thorben
      # 08.05.20 um 08:29

      Thorben CG-Team

      Ich find die Diskussion darum auf jeden Fall auch wichtig, allein schon um eine größere Sensibilität dafür zu schaffen. Wie das jeder für sich bewertet, ist ja eine individuelle Entscheidung, aber ich find wichtig, dass das kritisiert wurde und öffentlich thematisiert wurde. So muss Xiaomi darauf reagieren, was sie mit dem Browser-Update zumindest schon mal gemacht haben und man legt in der Zukunft vielleicht mehr Fokus auf das Thema Datenschutz. Das wäre sich zumindest zu wünschen.

  • Profilbild von Seb
    # 06.05.20 um 14:35

    Seb

    Also ich entferne ja grundsätzlich bei jedem Smartphone erstmal alle Vorinstallierten Apps insofern diese nicht drigend benötigt werden (filebrowser zb nicht da zu tief im System) Google Dienste ausser der Playstore fliegen auch raus per ADB. Außerdem nutze ich Blokada sowie dessen VPN Tunnel und unterbinden sämtliche ausgehende Verbindungen die mir seltsam vorkommen. Facebook, Twitter und Co nutze ich auch nicht.

    Es ist natürlich niemals 100% sicher aber so kann man wenigstens ein wenig Kontrolle behalten.

  • Profilbild von Martin
    # 07.05.20 um 13:35

    Martin

    Also egal, ob man es hätte erwarten können oder müssen und egal, ob es alle anderen auch machen, das geht gar nicht. Was man damit nämlich auch nicht erklären kann ist, dass sie das so schlampig machen und nicht mal ordentlich verschlüsseln, aber eigentlich geht das sowieso gar nicht.

  • Profilbild von 0x00
    # 07.05.20 um 21:42

    0x00

    Also ich persönlich finde es nicht so schlimm.'
    Xiaomi bietet eine ware an die In Deutschland für das 10 fach verkauft wird.
    Die Qualität der Produkt stimmt einfach und der Preis ist gefühlt der Produktionspreis.

    Ich hätte teilweise nicht gedacht, dass Xiaomi diese Geräte so günstig herstellen und verkaufen kann.
    Wenn ich mir das Mi Band 4 anschaue… Ein Deutsches Unternehmen würde es in dieser Art für 120€ verkaufen und aktuell bekommt man es für 18€… Dafür bekommst du hier nicht mal ein anständiges Ersatzband.

    Da stört es mich ehrlich gesagt nicht, wenn diese meine Daten dafür haben. Ein Tausch den ich gerne eingehe.

    Dennoch ist das Echo ganz gut, damit Xiaomi den Ball mal etwas flacher hält. Ich bin auch ein Freund von Datensparsamkeit.

    Außerdem seit mal ehrlich… Wenn das alles auf einen Server in Deutschland verarbeitet wird, denke ich schon das die Daten von da aus auch nach China wandern…

    • Profilbild von Gast
      # 08.05.20 um 09:18

      Anonymous

      @0x00: Also ich persönlich finde es nicht so schlimm.'

      @0x00: Da stört es mich ehrlich gesagt nicht, wenn diese meine Daten dafür haben. Ein Tausch den ich gerne eingehe.
      Dennoch ist das Echo ganz gut, damit Xiaomi den Ball mal etwas flacher hält. Ich bin auch ein Freund von Datensparsamkeit.

      Das passt irgendwie nicht zusammen. Ist nicht schlimm, aber du bist ein Freund von Datensparsamkeit…

      @0x00: Xiaomi bietet eine ware an die In Deutschland für das 10 fach verkauft wird.
      Die Qualität der Produkt stimmt einfach und der Preis ist gefühlt der Produktionspreis.

      Du kannst davon ausgehen, dass die noch Gewinne machen. Den Preis, den machen bei uns auch nicht nur ausschließlich die pösen deutschen Unternehmen, sondern die hohen Löhne bei uns – deiner zum Beispiel.

      Aber selbst wenn man den Tausch in Kauf nehmen würde, so wie du das sagst, ist die Leichtfüßigkeit, mit der man mit den Käuferdaten umgeht (unverschlüsselt!) eben ein Unding. Du kannst das drehen und wenden wie du willst, ist einfach scheiße.

  • Profilbild von tobe
    # 07.05.20 um 22:47

    tobe

    Wie sieht es eigentlich aus, wenn man das mi mit einer custom rom flasht, bin grad am überlegen auch um einige apps los zu werden die nicht Löschbar sind

    • Profilbild von tobe
      # 07.05.20 um 22:48

      tobe

      Also sowas wie cnamod

      • Profilbild von tobe
        # 07.05.20 um 22:48

        tobe

        Also wie cynamod

        • Profilbild von Senf
          # 08.05.20 um 09:33

          Senf

          Gibt es Cyanogenmod überhaupt noch? Ich glaube man nimmt eher Lineage Android.

          Du musst schauen, ob es ein ROM für dein Phonemodell gibt und eine Anleitung finden, wie man es drauf bringt. Das ist für jedes Modell und im Zweifel für jede vorinstallierte Version anders.

        • Profilbild von tobe
          # 08.05.20 um 14:19

          tobe

          Ja stimmt so heist das ja gibt es

  • Profilbild von Gast
    # 10.05.20 um 16:18

    Anonymous

    Ich habe hier verschiedene Devices, darunter Samsung, Lenovo (Motorola), Xiaomi u.a. Auffällig ist nur eines: das Xiaomi RN5. Seine Querys feuern im Sekundentakt zu Xiaomi-Servern. Bislang konnte ich mehr als zwanzig Server identifizieren. Auf dem Screenshot sieht man einen davon. Ich schätze, dass mehr als 90% aller DNS-Abfragen hier im LAN allein vom RN5 ausgelöst werden. Natürlich sind nicht alle Abfragen "böse", aber dass es dieses Ausmaß hat, wusste ich bis vor Kurzem nicht.

    Ein Custom-ROM hilft übrigens nicht weiter, weil der Mechanismus eine Ebene darunter sitzt.

    Die anderen Devices sind fast still, was regelmäßige Verbindungen angeht (das sind hauptsächlich z.B. Update-, IMAP-Server). Zu blockieren gibt es nur wenig.

    Ich schätze das RN5 nach wie vor sehr, und werde es weiter nutzen, so lange es mir reicht. Aber solche Szenarien wie die o.g. sind für mich durchaus kaufentscheidend.

    Kommentarbild von Anonymous
    • Profilbild von Thorben
      # 11.05.20 um 08:17

      Thorben CG-Team

      @Anonymous: Danke für diesen Test, sehr sehr interessant.

  • Profilbild von keanu
    # 11.05.20 um 15:38

    keanu

    Wie kann ich mich schützen ?
    (Ohne durchgehende Vpn-Verbindung )

Kommentar schreiben

Name
E-Mail
Diese E-Mail-Adresse wird nicht veröffentlicht

Mit Absenden des Formulars akzeptiere ich die Datenschutzerklärung und die Nutzungsbedingungen.