Der chinesische Hersteller Xiaomi hat laut Forbes einen handfesten Datenskandal vor sich. Zwei Cybersecurity-Experten haben sich ein relativ aktuelles Redmi Note 8 vorgenommen und konnten bei einigen Aktionen reproduzierbar Datenpakete mit Serverzielen (von Alibaba) in Russland und Singapur beobachten.
Was wird mindestens gesammelt:
- Webhistorie via vorinstallierten Mi Browser, auch im Inkognito Modus.
- Äderungen an Systemeinstellungen und Statusleiste.
- Welche Ordner wann geöffnet wurden.
An sich kann ich diese Daten nachvollziehen, da sie unter Umständen auch für eine Verbesserung der UI genutzt werden können. Die aufgefallenen Code-Anpassungen wurden auch in aktuellen Smartphone-Builds des Herstellers gefunden und es gibt wohl auch kein Opt-Out. Leider ist nicht klar, in welcher ROM diese Anpassungen gefunden wurden (CH, Global und oder EU).
Die Daten sind aber via einem eindeutigen Identifier gesammelt und einer sehr schwachen Verschlüsselung (wenn man heutzutage base64 überhaupt so nennen darf) “geschützt”. Die Daten werden auf Servern des Partners Sensor Data verarbeitet. Für solche Zwecke werden oft Partner eingespannt, der Gründer von Sensor Data war jedoch bei Baido für das Nutzertracking zuständig und hat für das chinesische Google eine riesige Datenbank aufgebaut. Xiaomi jedoch bestreitet die Serverzielen, die Daten würden auf eigenen Servern verarbeitet.
Der Hersteller streitet alles ab. Wenn sich dies aber weiter entwickelt, könnte der derzeit viertgrößte Smartphone Hersteller in dieselbe Lage wie Huawei geraten.