„Bericht: Xiaomi-Smartphones spionieren ihre Benutzer aus“

Dem chinesischen Smartphone-Hersteller Xiaomi wird vorgeworfen, das Verhalten seiner Benutzer aufzuzeichnen und die Daten an eigene Server zu übertragen. Insbesondere gilt das für das Surfen im Web: Der Xiaomi-Browser zeichnet offenbar jede besuchte Website samt Eingaben in eine Suchmaschine auf, und das sogar im Inkognito-Modus. Das gleiche Phänomen tritt auch bei anderen Browser-Apps von Xiaomi im Play Store auf, berichtet das Magazin Forbes. […]

Weiterhin betont Xiaomi in dem Beitrag, man sammle Daten nur mit ausdrücklicher Zustimmung des Benutzers, die Daten seien anonymisiert und die Übertragung per TLS 1.2 verschlüsselt. Die Browser-URL werde aufgezeichnet, um langsam ladende Websites zu identifizieren; das helfe beim Verbessern der Browser-Performance. Der ‚unique token‘, mit dem die Nutzungsdaten aggregiert würden, werde per Zufallswert erzeugt und sei nicht einem Benutzer zuzuordnen (auf Cîrligs Verweis, diese UUID bleibe immer gleich, geht der Blogbeitrag nicht ein).

Tilman Wittenhorst | Heise.de

Der Forbes-Artikel, der den Stein ins Rollen brachte, erschien am 30. April. Xiaomi widersprach den Anschuldigungen am 2. Mai. Inzwischen gibt es einen „Enhanced Incognito mode“, den man jedoch deaktivieren muss, damit das Smartphone alle besuchten Website (samt Eingaben in eine Suchmaschine) nicht mehr zu Xiaomi schickt. Im Inkognitomodus! „Dark Pattern at its best.“

➝ Video

Diese Meldung verschwand danach weitgehend aus den Nachrichtentickern. Anschließend stellt sich jedoch noch heraus: Auch Songs, News und Home-Screen-Aktivitäten werden übertragen. Obendrein entdeckten die Security-Forscher weitere Parameter, die die Zuordnung der Aktivitäten am Smartphone einem individuellen Nutzer / einer Nutzerin zuordnen („distinct_id”). Auch die Verknüpfung mit einer echten Telefonnummer findet statt und scheint auch nach der Abmeldung aus dem „Mi Account” weiter zu bestehen.