Nach Wiko wird auch Xiaomi beim Spionieren erwischt
Kurz nach seinem Europa-Debut kann sich Xiaomi auf peinliche Fragen durch seine neuen Kunden gefasst machen. Der Software-Experte Robert Baptiste hat sich die Firmware der globalen Version des Mi 6 näher angesehen. Genau wie zuvor OnePlus oder Wiko beließ auch Xiaomi eine für Entwickler gedachte Monitoring-App auf dem Endgerät, die nicht in den freien Handel gelangen sollte. Telemetriedaten der Nutzer werden ungefragt an die Zentrale in China gefunkt. Eine Antwort bleibt uns Xiaomi bisher schuldig.
Wenn man Robert Baptiste auf Twitter folgt, fragt man sich: "Was zum Teufel ist da nur los?" Ein namhafter Smartphone-Hersteller nach dem anderen fällt ihm auf; entweder durch fehlerhaft implementierte Software oder durch offenbar absichtlich hinterlassene Software, die zur Überwachung eingesetzt werden kann.
So @xiaomi I have some questions:
— Baptiste Robert (@fs0c131y) December 7, 2017
- Why this super intrusive app is present in an user build?
- Do you really need all this data?
- Any way to opt out from this data collection?
Was war vorgefallen? Die App Miui Deamon (zu finden in Settings -> Apps -> Menu -> Show system apps) auf manchen Xiaomi-Smartphones – unter anderem auf dem von uns getesteten Mi 6 – sammelt ungefragt Nutzerdaten. Konkret handelt es sich um...
- die Dauer, wie lang Ihr Euren Bilschirm anseht.
- den RAM.
- den internen Speicher.
- wie viel interner Speicher noch frei ist.
- die IMEI.
- Akku-Statistiken.
- GPU-Statistiken.
- Prozess-Statistiken.
- Bluetooth.
- Boot.
- Funk.
- Events, die den Bildschirm einschalten.
This application contains also a package called "performance". This package is able to collect activity stats, battery stats, graphics stats, proc stats... pic.twitter.com/R8up3aRpvO
— Baptiste Robert (@fs0c131y) December 7, 2017
Diese Daten werden nicht nur gesammelt, sondern zu allem Überfluss auch noch verschickt. Die Sammlung ist leider so angelegt, dass sie sich auf Euch persönlich zurückverfolgen lässt.
Hi @xiaomi 👋! Can we talk about your MiuiDaemon application?
— Baptiste Robert (@fs0c131y) December 7, 2017
This application is monitoring among other things Bluetooth, boot, broadcast, package, screen on events. Of course, all this data is sent to a China server. pic.twitter.com/vn2WVj7d5X
Xiaomi hat sich dazu noch nicht geäußert. Da es sich um eine System-App handelt, könnt Ihr ohne größeren Aufwand auch nichts gegen die Datensammlung unternehmen. Der Hersteller müsste ein Software-Update ausrollen, das die App entfernt. Ansonsten bliebe bloß der Weg über ein Custom-ROM, das zum Glück nicht zu kompliziert auf den Xiaomi-Geräten zu installieren ist. Dann sind zumindest die Lausch-Methoden in der System-Partition eliminiert.
Auch Wiko macht sich unbeliebt
Auch ein Gerät des in Frankreich äußerst populären Sparpreis-Smartphone-Herstellers Wiko hat der Landsmann Baptiste untersucht. Ähnlich wie bei OnePlus hat er entdeckt, dass sich Wiko-Geräte mit einer von der Qualitätssicherung übersehenen Wartungs-App rooten lassen.
Another adb root backdoor on the @WikoMobile U Feel Prime...🤦♂️
— Baptiste Robert (@fs0c131y) December 7, 2017
To obtain adb root on your Wiko U Feel Prime:
1. Plug your phone to your pc
2. Open a terminal
3. adb shell setprop persist.tinno.debug 1
4. adb shell
5. You're root! pic.twitter.com/HTiujNDGn1
Etliche weitere Wiko-Geräte wurden anhand dieses Schemas gerootet. Auf diese Weise lassen sich geschützte Informationen aus dem Speicher auslesen, was Euch unter Umständen teuer zu stehen kommt. Und nicht nur das...
<Thread> Hi @WikoMobile 👋! Let's talk about the Wiko Freddy phone.
— Baptiste Robert (@fs0c131y) November 28, 2017
This phone was released October 2016 and is now selling for 99.99€.
Because of the @WikoMobile and Tinno negligence, I'll show you how your data can be stolen even if your phone is protected by a lock screen. 1/ pic.twitter.com/No2E0DJ2wu
Auch der Sperrbildschirm lässt sich bei Wiko-Smartphones aufgrund der schlampigen Software-Implementierung leichter umgehen als bei anderen Geräten. Und Wiko ist gewiss nicht bekannt für schnelles oder gar langfristiges Ausliefern von Software-Updates zum Schließen ebensolcher Sicherheitslücken.
Damit nicht genug. Wiko hat nicht nur den Sperrbildschirm und den Root-Zugriff schlecht geschützt. Auch mit Privatsphäre hat der Hersteller nichts am Hut. Die System-App System updates sendet Eure IMEI an einen US-Server und etliche private Nutzungsdaten an tinno.com, dessen IP-Adresse von Land zu Land springt.
Authoritäten sind gefragt
Jetzt müssen Gesetzgeber und Verbraucherverbände ran. Es kann nicht sein, dass selbst auf App-Ebene, also vor unserer Nase derlei Aktivitäten auf den frei verkäuflichen Geräten möglich sind. Bisherige Kontrollmechanismen scheinen nicht zu funktionieren; sei es aufgrund mangelnder Man-Power oder wegen fehlenden Know-hows.
Dass wir uns mit Facebook, WhatsApp und Google zu Milliarden freiwillig von unserer Privatsphäre verabschieden, ist eine Sache. Immerhin sind diese Dienste zur Nutzung gratis; ihr Finanzierungsmodell basiert auf unserer Einwilligung, ein Stück von uns selbst zurückzugeben.
Dass wir jedoch zusätzlich ungefragt von denen beschattet werden, deren Produkte wir mit hartem Geld gekauft haben, ist eine ganz andere Dimension von Frechheit. Und diese muss bald stoppen.
Die angebliche "SpionageApp" MIUI Daemon lässt sich seit dem aktuellen Update auf MIUI 9.5.4.0 per Schalter deaktivieren.
Also nix mehr mit ungefragter Datensammlung.
Gott sei Dank sind wir jetzt alle sicher, denn Google und die restlichen Apps sammeln und versenden ja keine Daten (hab' ich gehört). :-)
Sony hat das zu Ericsson zeiten doch auch gemacht. Sogar ganz offen, wenn man eins eingerichtet hat kam sogar die Abfrage ob man anonyme Nutzungsstatistiken an Sony sendem möchte. Da war auch dergleichen drin
Was hat das mit den Fällen hier zu tun? Beim Einrichten musst du bei jedem Hersteller die Datenübermittlung bestätigen. Ich weiß nicht, wie du darauf kommst, dass das nur zu SE-Zeiten so war.
Es geht aktuell aber um das heimliche Spionieren.
Machen wir uns nichts vor. Alle Smartphones sammeln. Spätestens durch Google wird auf jeden Fall irgendetwas von euch gesammelt. Ist bei iOS nicht anders.
Made in China big brother. Guter Artikel. Gut und billig, das passt in diesem Falle absolut nicht.
Wer sich ein Handy aus China kauft weil es billig ist, muss ihm klar sein das, kein deutsches gesetzt in China angewendet wird, die Chinesen wissen schon warum sie hier keins anbieten, natürlich mit Ausnahmen und die erfüllen alle anvorderungen. Wer in China kauft muss damit rechen das sein Geld weg ist. Ich persönlich hatte 2 aus China und sage dazu nie wieder, zumindest in den nächsten Jahren. Es kann sich ja auch in den Jahre ändern.
Warum muss man dann damit rechnen dass das Geld weg ist?
Weil ich es schon erlebe habe, Handy aus China war zimlich Schrott habe es zurück geschickt auf meine Kosten und Geld bis heute nicht wieder bekommen. Das meine ich damit, mit Geld weg.
Ich hatte es mal dass der Hermes Bote das Paket eingesackt hat. Hab das Geld von Gearbest aber wieder zurück bekommen. Ansonsten hatte ich noch keine Probleme.
Chinesische Devices fallen einmal mehr negativ auf und schon hat man durchaus die Erklärung wieso diese Handys sooo unglaublich billig sind...
Im Hintergrund wird dann alles an Daten an dubiose "dritte" Firmen verkauft 👿😡
Finde Roberts Arbeit gut und ich hoffe er geht mal alle Hersteller durch, vielleicht ändert ja danach so manche Firma ihr Verhalten 📱
Dann müsste man auch Firmen wie Samsung und Google boykottieren.
Man müsste alles boykottieren. Inklusive bargeldloser Zahlung. Dann müsste wir die Löhne wieder in Bar abholen. ;)
Jedes Handy von mir bekommt ne Custom Rom. Gibt es keine, kauf ich es nicht.
"Der Hersteller müsste ein Software-Update ausrollen, das die App entfernt. Ansonsten bliebe bloß der Weg über ein Custom-ROM, das zum Glück nicht zu kompliziert auf den Xiaomi-Geräten zu installieren ist"
Custom Roms werden von irgendwelchen IT Nerds/Experten raus gebracht, wo man (ich) sich (mich Frage) fragt, ob das denn zuverlässig und sicher ist?! Weiß man doch letztlich auch nicht, ob was abgegriffen oder übermittelt wird auf irgendwelche Server.
Die custom Roms sind open source und recht zuverlässig.
Bei CR arbeiten viele zusammen. Da würde betrügerischer Code schnell auffallen.
Custom Roms sind viel sicherer als die von den Herstellern. Man kann sich auch seine eigenes Kochen, dann weiß man welche apps drauf sind und welche nicht. Custom Roms werden auch immer aktuell gehalten und das über Jahre. Wer davon Ahnung hat weiß es, alle andern vermuten nur.
Ich glaube nicht dran, das es den Einen Smartphonehersteller gibt, der nicht irgendwie uns beschnüffelt. Und,ich greife auch zur Customrom. Aber dann biegt Tante Google um die Ecke..
Huch, ich habe sogar 2 Xiaomi und das Dritte ist unterwegs 😀 Da meine Daten jetzt schon bei denen sind, muss ich wohl doch keine Custom installieren.
Auf mein zukünftiges Mi Note3 kommt aber gleich ne Custom rauf 😎
Wer Chinageräte kauft ist es selbst schuld, wurde in der Vergangenheit genug vor den Spionen gewarnt.
Das sind eh alles Diagnosedaten.
Ich habe ein Wiko Rainbow und das hat als erstes ein Custom Rom bekommen. Also nix mit lauschen.
Viele User interessiert das doch überhaupt nicht, leider.
Immer der Ruf nach dem Gesetzgeber...
Die Gesetze sind da und wurden erst vor wenigen Wochen mit Wirkung zum Mai 2018 verschärft. Was gefragt ist, sind die Gerichte, aber die müssen dazu angerufen werden. Das kann sich kaum ein Privatmann leisten und das wissen sie Firmen.
Ganz davon abgesehen, dass außereuropäischen Herstellern und Entwicklern unsere Gesetze erst Recht egal sein können. Die müssen nicht selten vor Ort verklagt werden und dort gibt es wohlmöglich gar keine Datenschutzgesetze, zumindest aber vollkommen andere als bei uns.
Das Problem betrifft auch nicht nur die genannten Smartphone-Hersteller. Zahllose Entwickler mit ihren Apps machen nichts anderes.
Deshalb ist das einzige kurzfristig wirksame, das was Baptiste macht: Die Öffentlichkeit in Kenntnis setzen. Die darf aber solche Leute nicht als Aluhut-Träger diffamieren, den Kopf nach dem Motto "die bekommen doch alles" oder "ich habe nichts zu verbergen" in den Sand stecken oder den Datenschutz als überholt darstellen, sondern es muss in die Köpfe, nicht alles blind zu installieren. Auch Tests in namhaften Zeitungen und Webseiten sind kein Garant, vollständige Informationen zu bekommen, wie Mike Kuketz erst nachgewiesen hat:
https://www.kuketz-blog.de/android-dringende-warnung-vor-clean-master-boost-antivirus/
Gerade wir Europäer sollten aus unserer Geschichte wissen, was mit Daten angestellt werden kann und wie scheinbar wertlose Daten negativ ausgelegt werden können. Was mit heutiger Technik möglich wäre, kann man sich kaum ausmalen. Das ist auch der Grund, warum unser Datenschutzrecht so streng ist. Um uns herum entwickelt sich ein Kreis von Despoten. Selbst in der EU gibt es Länder, die an die Gewaltenteilung aufweichen.
Deshalb ist es wichtig, dass jeder einzelne von uns seine Smart Devices nicht als Spielzeug sieht, sondern auch kritisch überprüft. Dazu muss man in die Technik eintauchen und auch Webseiten lesen, die die andere Seite der Medaille beleuchten. Dazu darf man auch rihig mal einen Entwickler anschreiben und fragen. Kommt keine oder eine ausweichende Antwort, ist das auch eine Antwort, aus der man Schlüsse ziehen kann.
Als Beispiel nenne ich WetterOnline und Foldersync. Beide Apps haben in den Kauf-Versionen Werbemodule und beide habe ich deswegen angeschrieben. WetterOnline hat mir nicht geantwortet, von FolderSync habe ich eine Antwort erhalten, die Module seien inaktiv, man werde jedoch eine neue Version ohne Werbemodule veröffentlichen, was auch wenige Tage später erfolgt ist. Bei den Werbemodulen fängt nämlich das Ausspionieren schon an. Die können uns alle persönlich identifizieren und die Beispiel von Sony, Yahoo, Uber, oBike und Microsoft (um nur die gröbsten Fälle aufzuzählen) zeigen, dass der Umgang mit den Daten oftmals nicht unseren Vorstellungen entspricht, bisweilen sogar grob fahrlässig ist.
Die Gesetze mögen da sein. Aber sie nützen nichts, weil sie m.E. löchiger sind als ein Schweizer Käse. Solange nicht mal ein paar Verantwortliche für lange Zeit ins Gefängnis müssen, ohne Aussicht auf vorzeitige Entlassung und/oder Freigang, wird sich nie etwas ändern. Die paar Euro Geldstrafe, die für viele Firmen nur ein Kaffeegeld sind, bringen garnichts. M.E. müssen drakonische Strafen her, unabhängig davon ob die Familien der Verantwortlichen darunter leiden oder nicht.
Die Gesetze sind nicht löchrig, die Auslegung ist individuell und das ist auch gut so und gewollt. Ein Gericht entscheidet den Einzelfall. Wenn Du ein betroffenes Gerät hast, hast Du das Recht, zu klagen. Kannst Du Dir das finanziell nicht leisten, informiere die Verbraucherverbände.
Wer sich allerdings ein Gerät kauft, das nicht einmal offiziell in der EU verkauft wird und zudem noch nicht mal eine CE-Kennzeichnung hat und damit eigentlich gar nicht betrieben werden dürfte (was bis vor kurzer Zeit bei Xiaomi der Fall war), für den kann sich plötzlich die Situation unangenehm ändern.
Eine Klage in China nach unserem Recht ist allerdings ziemlich aussichtslos.
Das Gesetz ist löchig. Beispiel ist der Widerspruch gegen Werbung. Man kann z.B. einer Firma sagen man möchte von ihr keine Werbung. Dann löscht sie den Datensatz. Kauft sie aber später Datensätze, in denen man selber steht, kann die Firma wieder Werbung zustellen.
Nicht alle käse der schweiz haben löcher. eigentlich vorallem der Emmenthaler.
Ach in Vergleich zum Google ist Xiaomi fast schon unschuldig 😇
Finde es klasse, dass es den Typen gibt. Ich bezweifle zwar, dass sich da was ändern wird (der Aufschrei ist leider nicht gerade groß, so wie ich es mitbekomme) aber so weiß ich, welche Marken ich erstmal meiden werde. Bin gespannt, was er bei anderen Herstellern so finden wird.
Ich kaufe mir seit Jahren gebrauchte Geräte was die Leute alles drauf lassen ist unglaublich z.b. Bank Daten, Google Konto Daten, Nacktfotos, komplette WA Konten u.s.w.
Ich glaube denen ist einfach egal was mit ihren Daten passiert.
Die wissen nicht, was sie tun!
Noch schlimmer, sie wollen es nicht wissen.
oder es liegt einfach an dem schlechten System bzgl. "Werkszustand" ^^ Wenn man ein Gerät auf "Werkszustand" zurücksetzt, erwartet man eigentlich, dass dann auch gefälligst ALLES gelöscht wird, was eben nciht auch schon beim WERKSZUSTAND drauf war...
Viele prüfen das halt nicht nach, weil nicht jeder weiß, dass das manchmal nicht richtig funktioniert.
-
Admin
08.12.2017 Link zum Kommentar"Telemetriedaten der Nutzer werden ungefragt an die Zentrale in China gefunkt.".........finde ich bei einem Chinesischen Gerät jetzt nicht so abwägig, schaut man sich mal die dortige Entwicklung betreffend Überwachung der Bürger an.
So weit entfernt von der Bürgerüberwachung sind wir in DE auch nicht mehr.
-
Admin
08.12.2017 Link zum KommentarBei uns werden bis jetzt noch keine Messenger abgeschaltet...
Natürlich nicht. Wenn man sie abschaltet kann man nichts mehr mitlesen. ;-)
Bei den namhaften Instant Messengern kann ohnehin kein Staat mehr mitlesen - wenn sie richtig konzipiert sind. Warum sonst betonen die Innenminister aller Ländern, wie wichtig das zur Strafverfolgung sei und deshalb Backdoors fordern? An einem iPhone hat sich sogar das FBI an Apple die Zähne ausgebissen.
In China hingegen kannst Du Google nicht erreichen. WhatsApp ist neuerdings gesperrt. Studenten aus China sind auf Regimetreue geprüft, da kannst Du sicher sein. Das ist Zensur! Du kannst aber ohne OK Deines Landes ohne weiteres in jedes Land gehen und studieren oder dort arbeiten (sofern Dich das Land hereinlässt).
Die NSA kann alles. ;)
-
Admin
09.12.2017 Link zum KommentarZum Thema "China":
https://www.golem.de/news/china-die-aaa-buerger-1712-131477.html
Wen wundert und/oder überrascht das?
Mal davon abgesehen sollte es doch inzwischen jeder begriffen haben, dass allzu Persönliches auf einem mobilen Datenverarbeitungsendgerät (Smartphone & Co.) nichts zu suchen hat.
Man muss doch schon persönliche Daten angeben, um die Kiste ans Laufen zu kriegen. (Anmeldung Google, etc.) Wozu soll son Smartphone denn sonst gut sein, wenn nicht zum persönlichen Gebrauch? Etwa zum Telefonieren? Nicht ernsthaft, oder? ;-)
Aber wie du schon so richtig schreibst: Nicht allzu Persönliches. Definiert aber wahrscheinlich jeder anders.
Man braucht keine Anmeldung bei Google, um die Kiste ans Laufen zu bringen. Man muss auch nicht alle Dienste von Google nutzen. Man kann Apps deinstallieren und deaktivieren.
Dabei wird ein Smartphone kein Bisschen weniger smart! Ich habe dazu mal eine Anregung mit Alternativen gegeben:
https://www.androidpit.de/forum/735895/die-privacy-checklisten-mehr-datenschutz-mit-wenig-aufwand#3100148
Ja , ich weiß. Da geht schon was. Aber lass uns doch mal realistisch bleiben. Wer kauft sich n Smartphone und verzichtet auf
Playstore, WhatsApp, FB, etc.?
Das ist doch der Grund weshalb die Dinger sich wie geschnittenes Brot verkaufen.
Für uns Freaks ist das eventuell noch n Thema (Alternativen suchen usw.) aber mal ehrlich, wer aus z. B. deinem Bekanntenkreis macht sich denn diese Umstände. Die meisten wissen doch nicht mal, daß man den einzelnen Apps die Berechtigungen zuteilen kann. Und die meisten wollen sich doch gar nicht mit dieser Materie beschäftigen sondern den Komfort einer Technik "genießen", mit der sie sich eben nicht beschäftigen oder gar aktiv drum bemühen müssen.
Aber die Möglichkeiten zur Datenbeschneidung gibt es natürlich. (übrigens, interessanter Link in dem Zusammenhang).
Wenn wir es nicht bekannt machen, wie man ein Smartphone auch betreiben kann, wer soll es dann machen?
<<< und verzichtet auf Playstore, WhatsApp, FB, etc.? >>>
Ich verzichte auf Facebook. Whatsapp nur für sehr wichtige Informationen (Kurzer Informationsaustausch, z.B. in unserer Modellbahngruppe oder mit meinem Schwesterchen). Ohne Playstore geht es aber leider nicht, man muss aber auch nicht alles nutzen was es dort gibt.