Nach Wiko wird auch Xiaomi beim Spionieren erwischt
Kurz nach seinem Europa-Debut kann sich Xiaomi auf peinliche Fragen durch seine neuen Kunden gefasst machen. Der Software-Experte Robert Baptiste hat sich die Firmware der globalen Version des Mi 6 näher angesehen. Genau wie zuvor OnePlus oder Wiko beließ auch Xiaomi eine für Entwickler gedachte Monitoring-App auf dem Endgerät, die nicht in den freien Handel gelangen sollte. Telemetriedaten der Nutzer werden ungefragt an die Zentrale in China gefunkt. Eine Antwort bleibt uns Xiaomi bisher schuldig.
Wenn man Robert Baptiste auf Twitter folgt, fragt man sich: "Was zum Teufel ist da nur los?" Ein namhafter Smartphone-Hersteller nach dem anderen fällt ihm auf; entweder durch fehlerhaft implementierte Software oder durch offenbar absichtlich hinterlassene Software, die zur Überwachung eingesetzt werden kann.
So @xiaomi I have some questions:
— Baptiste Robert (@fs0c131y) December 7, 2017
- Why this super intrusive app is present in an user build?
- Do you really need all this data?
- Any way to opt out from this data collection?
Was war vorgefallen? Die App Miui Deamon (zu finden in Settings -> Apps -> Menu -> Show system apps) auf manchen Xiaomi-Smartphones – unter anderem auf dem von uns getesteten Mi 6 – sammelt ungefragt Nutzerdaten. Konkret handelt es sich um...
- die Dauer, wie lang Ihr Euren Bilschirm anseht.
- den RAM.
- den internen Speicher.
- wie viel interner Speicher noch frei ist.
- die IMEI.
- Akku-Statistiken.
- GPU-Statistiken.
- Prozess-Statistiken.
- Bluetooth.
- Boot.
- Funk.
- Events, die den Bildschirm einschalten.
This application contains also a package called "performance". This package is able to collect activity stats, battery stats, graphics stats, proc stats... pic.twitter.com/R8up3aRpvO
— Baptiste Robert (@fs0c131y) December 7, 2017
Diese Daten werden nicht nur gesammelt, sondern zu allem Überfluss auch noch verschickt. Die Sammlung ist leider so angelegt, dass sie sich auf Euch persönlich zurückverfolgen lässt.
Hi @xiaomi 👋! Can we talk about your MiuiDaemon application?
— Baptiste Robert (@fs0c131y) December 7, 2017
This application is monitoring among other things Bluetooth, boot, broadcast, package, screen on events. Of course, all this data is sent to a China server. pic.twitter.com/vn2WVj7d5X
Xiaomi hat sich dazu noch nicht geäußert. Da es sich um eine System-App handelt, könnt Ihr ohne größeren Aufwand auch nichts gegen die Datensammlung unternehmen. Der Hersteller müsste ein Software-Update ausrollen, das die App entfernt. Ansonsten bliebe bloß der Weg über ein Custom-ROM, das zum Glück nicht zu kompliziert auf den Xiaomi-Geräten zu installieren ist. Dann sind zumindest die Lausch-Methoden in der System-Partition eliminiert.
Auch Wiko macht sich unbeliebt
Auch ein Gerät des in Frankreich äußerst populären Sparpreis-Smartphone-Herstellers Wiko hat der Landsmann Baptiste untersucht. Ähnlich wie bei OnePlus hat er entdeckt, dass sich Wiko-Geräte mit einer von der Qualitätssicherung übersehenen Wartungs-App rooten lassen.
Another adb root backdoor on the @WikoMobile U Feel Prime...🤦♂️
— Baptiste Robert (@fs0c131y) December 7, 2017
To obtain adb root on your Wiko U Feel Prime:
1. Plug your phone to your pc
2. Open a terminal
3. adb shell setprop persist.tinno.debug 1
4. adb shell
5. You're root! pic.twitter.com/HTiujNDGn1
Etliche weitere Wiko-Geräte wurden anhand dieses Schemas gerootet. Auf diese Weise lassen sich geschützte Informationen aus dem Speicher auslesen, was Euch unter Umständen teuer zu stehen kommt. Und nicht nur das...
<Thread> Hi @WikoMobile 👋! Let's talk about the Wiko Freddy phone.
— Baptiste Robert (@fs0c131y) November 28, 2017
This phone was released October 2016 and is now selling for 99.99€.
Because of the @WikoMobile and Tinno negligence, I'll show you how your data can be stolen even if your phone is protected by a lock screen. 1/ pic.twitter.com/No2E0DJ2wu
Auch der Sperrbildschirm lässt sich bei Wiko-Smartphones aufgrund der schlampigen Software-Implementierung leichter umgehen als bei anderen Geräten. Und Wiko ist gewiss nicht bekannt für schnelles oder gar langfristiges Ausliefern von Software-Updates zum Schließen ebensolcher Sicherheitslücken.
Damit nicht genug. Wiko hat nicht nur den Sperrbildschirm und den Root-Zugriff schlecht geschützt. Auch mit Privatsphäre hat der Hersteller nichts am Hut. Die System-App System updates sendet Eure IMEI an einen US-Server und etliche private Nutzungsdaten an tinno.com, dessen IP-Adresse von Land zu Land springt.
Authoritäten sind gefragt
Jetzt müssen Gesetzgeber und Verbraucherverbände ran. Es kann nicht sein, dass selbst auf App-Ebene, also vor unserer Nase derlei Aktivitäten auf den frei verkäuflichen Geräten möglich sind. Bisherige Kontrollmechanismen scheinen nicht zu funktionieren; sei es aufgrund mangelnder Man-Power oder wegen fehlenden Know-hows.
Dass wir uns mit Facebook, WhatsApp und Google zu Milliarden freiwillig von unserer Privatsphäre verabschieden, ist eine Sache. Immerhin sind diese Dienste zur Nutzung gratis; ihr Finanzierungsmodell basiert auf unserer Einwilligung, ein Stück von uns selbst zurückzugeben.
Dass wir jedoch zusätzlich ungefragt von denen beschattet werden, deren Produkte wir mit hartem Geld gekauft haben, ist eine ganz andere Dimension von Frechheit. Und diese muss bald stoppen.
Die angebliche "SpionageApp" MIUI Daemon lässt sich seit dem aktuellen Update auf MIUI 9.5.4.0 per Schalter deaktivieren.
Also nix mehr mit ungefragter Datensammlung.
Gott sei Dank sind wir jetzt alle sicher, denn Google und die restlichen Apps sammeln und versenden ja keine Daten (hab' ich gehört). :-)
Sony hat das zu Ericsson zeiten doch auch gemacht. Sogar ganz offen, wenn man eins eingerichtet hat kam sogar die Abfrage ob man anonyme Nutzungsstatistiken an Sony sendem möchte. Da war auch dergleichen drin
Was hat das mit den Fällen hier zu tun? Beim Einrichten musst du bei jedem Hersteller die Datenübermittlung bestätigen. Ich weiß nicht, wie du darauf kommst, dass das nur zu SE-Zeiten so war.
Es geht aktuell aber um das heimliche Spionieren.
Machen wir uns nichts vor. Alle Smartphones sammeln. Spätestens durch Google wird auf jeden Fall irgendetwas von euch gesammelt. Ist bei iOS nicht anders.
Made in China big brother. Guter Artikel. Gut und billig, das passt in diesem Falle absolut nicht.
Wer sich ein Handy aus China kauft weil es billig ist, muss ihm klar sein das, kein deutsches gesetzt in China angewendet wird, die Chinesen wissen schon warum sie hier keins anbieten, natürlich mit Ausnahmen und die erfüllen alle anvorderungen. Wer in China kauft muss damit rechen das sein Geld weg ist. Ich persönlich hatte 2 aus China und sage dazu nie wieder, zumindest in den nächsten Jahren. Es kann sich ja auch in den Jahre ändern.
Warum muss man dann damit rechnen dass das Geld weg ist?
Weil ich es schon erlebe habe, Handy aus China war zimlich Schrott habe es zurück geschickt auf meine Kosten und Geld bis heute nicht wieder bekommen. Das meine ich damit, mit Geld weg.
Ich hatte es mal dass der Hermes Bote das Paket eingesackt hat. Hab das Geld von Gearbest aber wieder zurück bekommen. Ansonsten hatte ich noch keine Probleme.
Chinesische Devices fallen einmal mehr negativ auf und schon hat man durchaus die Erklärung wieso diese Handys sooo unglaublich billig sind...
Im Hintergrund wird dann alles an Daten an dubiose "dritte" Firmen verkauft 👿😡
Finde Roberts Arbeit gut und ich hoffe er geht mal alle Hersteller durch, vielleicht ändert ja danach so manche Firma ihr Verhalten 📱
Dann müsste man auch Firmen wie Samsung und Google boykottieren.
Man müsste alles boykottieren. Inklusive bargeldloser Zahlung. Dann müsste wir die Löhne wieder in Bar abholen. ;)
Jedes Handy von mir bekommt ne Custom Rom. Gibt es keine, kauf ich es nicht.
"Der Hersteller müsste ein Software-Update ausrollen, das die App entfernt. Ansonsten bliebe bloß der Weg über ein Custom-ROM, das zum Glück nicht zu kompliziert auf den Xiaomi-Geräten zu installieren ist"
Custom Roms werden von irgendwelchen IT Nerds/Experten raus gebracht, wo man (ich) sich (mich Frage) fragt, ob das denn zuverlässig und sicher ist?! Weiß man doch letztlich auch nicht, ob was abgegriffen oder übermittelt wird auf irgendwelche Server.
Die custom Roms sind open source und recht zuverlässig.
Bei CR arbeiten viele zusammen. Da würde betrügerischer Code schnell auffallen.
Custom Roms sind viel sicherer als die von den Herstellern. Man kann sich auch seine eigenes Kochen, dann weiß man welche apps drauf sind und welche nicht. Custom Roms werden auch immer aktuell gehalten und das über Jahre. Wer davon Ahnung hat weiß es, alle andern vermuten nur.
Ich glaube nicht dran, das es den Einen Smartphonehersteller gibt, der nicht irgendwie uns beschnüffelt. Und,ich greife auch zur Customrom. Aber dann biegt Tante Google um die Ecke..
Huch, ich habe sogar 2 Xiaomi und das Dritte ist unterwegs 😀 Da meine Daten jetzt schon bei denen sind, muss ich wohl doch keine Custom installieren.
Auf mein zukünftiges Mi Note3 kommt aber gleich ne Custom rauf 😎
Wer Chinageräte kauft ist es selbst schuld, wurde in der Vergangenheit genug vor den Spionen gewarnt.