Xiaomi gerät unter Druck. Nach einem Bericht der litauischen Cyberabwehr wird nun auch das BSI tätig und kündigte Untersuchungen an. Denn die litauischen Behörden hatten ein OnePlus, ein Huawei und ein Xiaomi Android Smartphone überprüft und bei letztgenannten eklatante Sicherheitsbedenken geäußert.
In Bezug auf Xiaomi wird es ab Seite 15 interessant:
2021-08-23_5G-CN-analysis_env3Neben Google Analysetools setzt der chinesische Hersteller auch eigene Lösungen ein. Darunter ist aber auch die Möglichkeit, einen Filter einzusetzen, welcher auf einer Blacklist arbeitet. Diese war zwar auf dem getesteten europäischen Gerät deaktiviert, doch kann sie jederzeit remote aktualisiert und aktiviert werden. Technische Basis zur Erkennung eines “Fehlverhaltens” auf dem Gerät sind 61 Faktoren. Diese Sensordaten werden an Server in Singapur versendet und dort vermutlich auch verarbeitet.
Xiaomi bietet Nutzer eine Cloudlösung an, z.B. um Backups der Geräte anzulegen oder persönliche Daten zu synchronisiert. Dafür ist jedoch eine Registrierung einer SIM Rufnummer per SMS notwendig. Problematisch sind dabei:
- Die Nachricht ist verschlüsselt.
- Die Nachricht wird vom System versteckt.
- Die Daten landen in Singapur über Domains, welche bei Alibaba registriert sind.
Es werden also vom Nutzer nicht verifizierbare Daten in ein Land gesendet, welches sich nicht an die DSGVO halten muss.
Was man jedoch bedenken sollte ist auch die Möglichkeit, dass die SMS als Token genutzt wird. Denn der verschlüsselte Inhalt wird nochmals als Datenpaket versendet.
Daher rate ich von einem Einsatz von Xiaomi Geräten im Enterprise Bereich dringend ab. Für die Privatnutzung würde ich den Bootloader entsperren und die originale ROM gegen Xiaomi.EU austauschen. Denn diese sind entschlackt von den Services, welche teils unkontrolliert Daten ins Nirvana schickt.