Sicherheitsforscher haben Bedenken bzgl. Smartphones von Huawei und Xiaomi

Ein Sicherheitsbericht von unerwarteter Stelle sorgt aktuell online für Aufsehen: Das National Cyber Security Centre (NCSC) aus Litauen hat sich die Smartphones von mehreren chinesischen Herstellern einmal genauer angeschaut. So wollte man herausfinden, wie es so um die Datensicherheit bei den Geräten steht. Sowohl Huawei als auch Xiaomi ernteten dabei Kritik. Nun drehen sich viele Diskussionen um Für und Wider der Analyse.

Falls ihr selbst hereinlesen wollt: Das Dokument der NCSC ist hier zu finden. 32 Seiten umfasst das PDF. Geprüft wurden dabei konkret drei chinesische Geräte: das Huawei P40 5G, das Xiaomi Mi 10T 5G und das OnePlus 8T 5G. Nur das Smartphone von OnePlus 8T 5G wurde dabei im Grunde ohne Kritik durchgewunken.

Am Huawei P40 bemängelte man im Grunde nur, dass Huawei die Nutzer bei Nichtvorhandensein einer Anwendung in der App Gallery zu externen App Stores weiterleite, die nicht zu 100 % vertrauenswürdig seien. Am Xiaomi Mi 10T 5G fand man zum einen anstößig, dass der vorinstallierte Mi Browser im Hintergrund mit Google Analytics und Sensor Data arbeite. Die beiden Module würden Nutzerdaten abgreifen und sie verschlüsselt an Server in Singapur senden. Da hält die NCSC für fraglich, dass dort nach den europäischen Datenschutzgesetzen damit verfahren werde.

Bei Aktivierung der Xiaomi Cloud werde ebenfalls die Telefonnummer des Nutzers über eine unsichtbare und verschlüsselte SMS nach Singapur entsendet, so die NCSC. Weiterer Mangel: Mehrere System-Apps des Mi 10T 5G würden auf eine Konfigurationsdatei namens „MiAdBlackListConfig“ zurückgreifen, die von Servern aus Singapur bezogen werde. In der Datei seien mehrere politische, religiöse und anderweitig gesellschaftlich aktive Gruppen hinterlegt, deren Inhalte blockiert werden könnten.

Allerdings weist man darauf hin, dass die Filter aktuell praktisch nicht in der EU angelegt würden. Dennoch werde die Blockierliste im Hintergrund regelmäßig aktualisiert und könnte von Xiaomi im Handumdrehen aktiviert werden, sollte der Hersteller es darauf anlegen. Xiaomi selbst hat die Angelegenheit bereits kommentiert: Man greife nicht in die Kommunikation der Nutzer ein und werde niemals persönliche Aktivitäten einschränken oder unterbinden. Auch respektiere man natürlich die Datenschutzgesetze der EU und halte sich an diese.

Bei XDA-Developers schaute man sich die angebliche Blacklist jedoch ebenfalls noch einmal an. Dort kam man zu dem Ergebnis, dass es sich gar nicht um eine potenzielle Zensur-Liste handele, sondern vielmehr um einen Filter für Werbung – legt der Name der Liste ja auch nahe. Auch an der Versendung der verschlüsselten SMS nach Singapur hat man bei XDA-Developers seine Zweifel, sodass die Lage da unklar bleibt. Letzten Endes scheint die Untersuchung der NCSC womöglich etwas lückenhaft zu sein. Vielleicht ist sie aber ja der Anstoß für gründlichere Forschung, die uns mehr Aufschluss gibt.

In diesem Artikel sind Partner-Links enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

19 Kommentare

  1. >>Letzten Endes scheint die Untersuchung der NCSC womöglich etwas lückenhaft zu sein. Vielleicht ist sie aber ja der Anstoß für gründlichere Forschung, die uns mehr Aufschluss gibt.<<
    Letztendlich sollte man sich nicht auf wenige Hersteller und Geräte beschränken. Um tatsächlich aufschlussreiche Ergebnisse vorlegen zu können sollte man den kompletten Markt untersuchen. Ich bin ziemlich sicher, dass die meisten Endgeräte mit irgendwelchen Servern kommunizieren, weil es dafür eine technische Notwendigkeit gibt. Vielleicht sollte schon vor Markteinführung die Konformität mit dem Datenschutz geprüft werden. Aber der VW-Skandal z.B. hat ja gezeigt was möglich ist. Warum sollte ein Smartphone die Testsituation nicht auch erkennen und den eigentlich unerlaubten Datentransfer unterbinden? Am Ende sollte man es uns Verbrauchern überlassen, ob und bis zu welchem Punkt und zu welchem Preis wir bereit sind den Datentransfer zu tolerieren.

    • therealThomas says:

      Wenn ich am Router oder DNS-Server die jeweils anfallende Kommunikation mitschneide, wie soll das Gerät diese „Testsituation“ erkennen?

      • Bei VW haben sie auch so gedacht als sie die Schummelsoftware entwickelt haben. „Wer soll uns denn nachweisen das wir auf der Rolle bessere Abgaswerte haben als auf der Straße?“ Ergo, erkennt das Smartphone das es über einen Router oder DNS-Server läuft werden keine unerlaubten Daten transferiert. Ohne Router oder DNS-Server wird dann fröhlich drauf los gesendet.

        • therealThomas says:

          Wenn du mir jetzt noch erklärst, wie ein Smartphone bei mir daheim mit einem Server von Xiaomi ohne Router kommunizieren kann, dann hast du mich überzeugt.

          • Okay, wenn du dein Smartphone ausschließlich stationär am Router betreibst, dann ist die Chance groß das es nicht unerlaubte Daten transferiert. Allerdings könnte es sein das du dadurch ein wenig an Komfort verlierst. Aber das merkst du natürlich nicht, weil du das Ding ja nicht mobil betreibst. Wer den Volkswagen mit Schummelsoftware nur auf der Rolle laufen lässt hätte ja auch von der Schummelei nix mitbekommen.

            • therealThomas says:

              Bitte informiere dich, wie das Internet funktioniert.
              Hat deine Mobilfunkzelle eine direkte Leitung ohne zwischengeschaltete Geräte bis zum Xiaomi-Server? Wie nutzt du den Rest des Internets? Leitet das Xiaomi weiter?

              Deine Daten werden früher oder später immer einen Router passieren, wenn du das Internet nutzt, je nachdem wer du bist hast du ggf. sogar die Kontrolle über einen dieser Router und kannst/musst ggf. sogar Metadaten loggen.

          • mobile Daten? 😉

            • Davon hat @therealThomas wahrscheinlich noch nichts gehört. Er nutzt sein Mobile nur stationär am eigenen Router, damit er die Daten mitschneiden kann. 🙂

              • therealThomas says:

                @Mr. T ist auch ein ganz schlauer. Sich über andere lustig machen kann er gut, aber sich eingestehen, dass er vielleicht falsch lag und vergeblich versucht hat, jemanden dumm dastehen zu lassen, da antwortet er lieber nicht mehr 😉

                • @therealThomas
                  Oh, dann erklär doch mal bitte mal das Internet für Dummies. Vielleicht kann ich dann von dir noch was lernen? Ach und verkneif dir doch bitte die persönlichen Angriffe. Die gehören eigentlich nicht in einen Technik-Blog.

                  • therealThomas says:

                    Ich bin mir nicht sicher, ob die Frage ernst gemeint ist. Ich wollte keinesfalls jemanden als „Dummie“ bezeichnen, aber dein Kommentar hat ja deutlich gemacht, dass dir nicht bewusst ist, dass das ganze Internet aus Routern besteht. Falls das tatsächlich der Fall ist, probier es vllt mal hiermit: https://www.webschmoeker.de/grundlagen/wie-funktioniert-das-internet/
                    Google wird dir auch noch zahlreiche andere Ergebnisse liefern.

                    Deine konstruktiven Kommentare sind hier natürlich richtig aufgehoben 😉

                    • Da dieser Blog ja moderiert wird und sich die Moderation dafür entschieden hat meine Kommentare frei zu schalten, können sie nicht ganz falsch sein. Ich zitiere gerne nochmal die Frage, die für dich anscheinend zum Stein des Anstoß wurde. „Warum sollte ein Smartphone die Testsituation nicht auch erkennen und den eigentlich unerlaubten Datentransfer unterbinden?“ Darauf habe ich leider noch keine befriedigende Antwort bekommen. Ich gehe davon aus das du schon mal von den verschiedenen Schichten des OSI-Modells gehört oder gelesen hast. Vielleicht lässt sich damit eine Antwort auf meine Frage ableiten? Rein wissenschaftlich betrachtet habe ich eine These aufgestellt und über diese kann man diskutieren und eine Gegenthese aufstellen.

  2. Hat da jemand Angst davor, das Xiaomi die Nummer eins werden könnte? Was spielt Litauen in der Welt für eine Rolle, dass man plötzlich überall darüber berichtet? Alle Tech Hersteller spionieren auf die eine oder andere Art. Wenn man das nicht haben möchte dann muss man wohl auf Technik komplett verzichten. Zensur findet sowieso schon statt, ob mit oder ohne Xiaomi. Es gibt immer Menschen denen andere Meinungen nicht passen. Apple ist auch bald kaum noch empfehlenswert, mit denen ihre Bilderscanfunktion die über kurz oder lang kommen wird.

    • Xiaomi hat momentan diverse Produkt-Launches bzw. -Neuvorstellungen geplant.
      Falls man also ‚Meinung machen‘ möchte, gibt es dafür schlechtere Zeitpunkte.

    • @Legomio „Apple ist auch bald kaum noch empfehlenswert, mit denen ihre Bilderscanfunktion die über kurz oder lang kommen wird“

      Die wollen halt auch in China und an die Taliban Geräte verkaufen, und so müssen lokale Gesetze eben umgesetzt werden, ob da etwa unverschleierte Bräute, bartlose Kerle, oder gar blanke Brustwarzen abgelichtet wurden. Appsperren gibt es bereits genauso reichlich.

      Anderswo sind es dann Terroristen und andere Schwerkriminelle, die als Vorwand der Dauerüberwachung dienen – wie die Hetze gegen Telegram zeigt.

  3. Wenn man sich mal schlau macht, wie die Beziehungen zwischen Litauen und China zur zeit sind, dann überrascht es mich nicht, was die Experten dort speziell für chinesische Hard-/Software da so gefunden haben;) Man hat ja große Vorbilder diesbezüglich (US)

  4. Was erwartet man denn?
    Gerade MIUI basiert doch auch bei „Global“ Geräten stets auf der China-Firmware, mit allem Kontrollzeugs was da eben vorgeschrieben ist. Das wird grob für die Google Zertifizierung umgestrickt, mit unvermeidlichen Resten. Weil die Dinger von Xiaomi außerdem am Mi Konto (Gerät, Forum, Mi Fit mit den Gerätesensoren,) kleben selbst wenn man es nicht nutzt, senden die wohl auch dauernd unspezifische Daten nach Hause. Wie die Anfragen vom OS Updater.

    Wie gut oder schlecht das ist, wer was ungefragt wohin sendet, hängt am Ende wohl vom Beruf ab, z.B. ist das nix für Journalisten oder Verfolgte in Fernost. Manch anderen ist das wieder egal, die wollen nur nicht auf die no-fly Liste der Amis weil Googledaten durch die Schlapphutdienste der USA abgegriffen wurden.

    • halbwahrheit
      geprüft wird warum überhaupt diese geräte trotz vertrag mit der eu, mit einer funktion ausgeliefert werden ( die aktuell noch nicht) die teilweise aktiv ist !
      alles was hier von techfreaks behauptet, widerlegt wird ist blödsinn
      china befürworter passt das nicht , china hater sehen das anders
      dieses verflixte social media geschwafel ist dafür einfach nicht geeignet
      in kürze wird es eine offizielle stellungnahme der telekom dazu geben
      letzendlich läuft es darauf aus :
      china: wenn ihr nicht wollt wie wir es wollen drücken wir den red button in peking
      halb gedrückt ist er schon siehe litauen
      ps: dieser bericht von dem xda developer typ ist sowas von grottig , falsch, schliesslich bezieht er ja geld aus china !
      nicht umsonst war Aamir Siddiqui jahre in china und hat bei huawei fleissig zu gearbeitet
      warum wohl prangt bei xda wohl das huawei logo auf seite 1 ?
      fragen über fragen
      die sich jeder selbst beantworten sollte der bei klaren verstand ist

      • Warum nur wurde das Gerät von Oneplus durchgewunken? Ist doch auch ein chinesischer Hersteller. Eventuell mit zu geringem Marktanteil in Litauen?

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.